Был замечен новый вариант троянца удаленного доступа под названием Bandook, который распространяется посредством фишинговых атак с целью проникновения на компьютеры с Windows, что подчеркивает непрерывную эволюцию вредоносного ПО.
Компания Fortinet FortiGuard Labs, которая выявила активность в октябре 2023 года, заявила, что вредоносное ПО распространяется через PDF-файл, содержащий ссылку на защищенный паролем архив .7z.
"После того, как жертва извлекает вредоносное ПО с паролем из файла PDF, вредоносное ПО вводит свою полезную нагрузку в msinfo32.exe", - сказал исследователь безопасности Пей Хан Ляо.
Bandook, впервые обнаруженный в 2007 году, представляет собой готовую вредоносную программу, которая обладает широким спектром функций для удаленного получения контроля над зараженными системами.
В июле 2021 года словацкая компания ESET по кибербезопасности подробно описала кампанию кибершпионажа, в ходе которой модернизированный вариант Bandook использовался для взлома корпоративных сетей в испаноязычных странах, таких как Венесуэла.
Отправной точкой последней последовательности атак является компонент injector, предназначенный для расшифровки и загрузки полезной нагрузки в msinfo32.exe, законный двоичный файл Windows, который собирает системную информацию для диагностики проблем с компьютером.
Вредоносная программа, помимо внесения изменений в реестр Windows для обеспечения сохраняемости на скомпрометированном хосте, устанавливает контакт с сервером командования и управления (C2) для получения дополнительных полезных данных и инструкций.
"Эти действия можно грубо классифицировать как манипулирование файлами, манипулирование реестром, загрузку, кражу информации, выполнение файлов, вызов функций в DLL-файлах с C2, управление компьютером жертвы, завершение процесса и удаление вредоносного ПО", - сказал Хан Ляо.
Компания Fortinet FortiGuard Labs, которая выявила активность в октябре 2023 года, заявила, что вредоносное ПО распространяется через PDF-файл, содержащий ссылку на защищенный паролем архив .7z.
"После того, как жертва извлекает вредоносное ПО с паролем из файла PDF, вредоносное ПО вводит свою полезную нагрузку в msinfo32.exe", - сказал исследователь безопасности Пей Хан Ляо.
Bandook, впервые обнаруженный в 2007 году, представляет собой готовую вредоносную программу, которая обладает широким спектром функций для удаленного получения контроля над зараженными системами.
В июле 2021 года словацкая компания ESET по кибербезопасности подробно описала кампанию кибершпионажа, в ходе которой модернизированный вариант Bandook использовался для взлома корпоративных сетей в испаноязычных странах, таких как Венесуэла.
![Bandook RAT Bandook RAT](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikXIuvMUNZ95JzyNpdm79xOeooRgEUhTvP20ge99-uLk-usoeaXvCpCQTqTrrFBBkpGvtfvGOGRgN8rhVpvL0Y3WnLKOVlE97G0W2Q-ykf-wBx_pIhK_nrf-EZj6GatJWT-4yR-bTSIvQZdV08I93gFpU-WNO8We_BBmSIj4TqeOCgTRDYsU42DP2QjgcC/s728-rw-ft-e30/code.jpg)
Отправной точкой последней последовательности атак является компонент injector, предназначенный для расшифровки и загрузки полезной нагрузки в msinfo32.exe, законный двоичный файл Windows, который собирает системную информацию для диагностики проблем с компьютером.
Вредоносная программа, помимо внесения изменений в реестр Windows для обеспечения сохраняемости на скомпрометированном хосте, устанавливает контакт с сервером командования и управления (C2) для получения дополнительных полезных данных и инструкций.
"Эти действия можно грубо классифицировать как манипулирование файлами, манипулирование реестром, загрузку, кражу информации, выполнение файлов, вызов функций в DLL-файлах с C2, управление компьютером жертвы, завершение процесса и удаление вредоносного ПО", - сказал Хан Ляо.