Nuova Variante di Bandook RAT: Risorge, Mirando i Sistemi Windows
Una nuova variante del trojan di accesso remoto chiamato Bandook è riemersa e sta prendendo di mira i sistemi Windows attraverso attacchi di phishing, dimostrando un’evoluzione costante del malware.
Fortinet FortiGuard Labs ha individuato questa attività nell’ottobre 2023, identificando il malware che si diffonde tramite un file PDF contenente un collegamento a un archivio .7z protetto da password.
“Una volta estratto il malware dalla password fornita nel file PDF, questo inietta il suo payload in msinfo32.exe,” ha dichiarato il ricercatore di sicurezza Pei Han Liao.
Bandook, individuato per la prima volta nel 2007, è un malware preconfigurato che offre molteplici funzionalità per prendere il controllo remoto dei sistemi infettati.
Nel luglio 2021, la società slovacca di sicurezza informatica ESET ha documentato una campagna di spionaggio informatico che sfruttava una versione migliorata di Bandook per penetrare reti aziendali in paesi di lingua spagnola, come il Venezuela.
La fase iniziale di questa nuova sequenza di attacco consiste in un componente iniettore progettato per decifrare e caricare il payload in msinfo32.exe, un’eseguibile legittimo di Windows utilizzato per raccogliere informazioni di sistema.
Oltre a modificare il Registro di sistema di Windows per garantire la persistenza sul dispositivo infetto, il malware stabilisce un collegamento con un server di comando e controllo (C2) per ottenere ulteriori istruzioni e payload.
“Queste azioni possono essere approssimativamente categorizzate come manipolazione di file, manipolazione del Registro di sistema, download, furto di informazioni, esecuzione di file, invocazione di funzioni in DLL dal C2, controllo del computer della vittima, terminazione di processi e disinstallazione del malware,” ha aggiunto Han Liao.