MKD-CIRT National Centre for Computer Incident Response
Забележана е нова варијанта на тројанец за далечински пристап наречен Bandook како се шири преку фишинг напади со цел да се инфилтрира во машините на Windows, нагласувајќи го континуирана еволуција на малициозен софтвер.
Fortinet FortiGuard Labs, која ја идентификуваше активноста во октомври 2023 година, рече дека малициозниот софтвер се дистрибуира преку PDF-датотека која вградува врска до архива .7z заштитена со лозинка.
“Откако жртвата ќе го извлече малициозниот софтвер со лозинката во PDF-датотеката, малициозниот софтвер го вбризгува својот товар во msinfo32.exe,” безбедносниот истражувач Pei Han Liao рече.
Bandook, првпат откриен во 2007 година, е off-the-shelf malware кој доаѓа со широк спектар на функции за далечинско стекнување контрола на заразените системи.
Во јули 2021 година, словачката компанија за сајбер безбедност ESET детализираше кампања за сајбер шпионажа која користеше надградена варијанта на Bandook за да ги наруши корпоративните мрежи на шпански- земји што зборуваат како што е Венецуела.
Почетната точка на најновата секвенца напади е компонента за инјектор која е дизајнирана да го дешифрира и вчита товарот во msinfo32.exe, легитимен бинарен на Windows што собира системски информации за дијагностицирање проблеми со компјутерот.
Злонамерниот софтвер, покрај тоа што прави промени во регистарот на Windows за да воспостави упорност на компромитираниот хост, воспоставува контакт со серверот за команда и контрола (C2) за да добие дополнителни носивост и инструкции.
„Овие дејства може грубо да се категоризираат како манипулација со датотеки, манипулација со регистар, преземање, крадење информации, извршување на датотеки, повикување на функции во DLL од C2, контрола на компјутерот на жртвата, убивање процес и деинсталирање на малициозен софтвер,“ ; – изјави Han Liao.
Извор: thehackernews