Νέα παραλλαγή του RAT Bandook επανεμφανίζεται, στοχεύοντας τα Windows - Οθόνη με εικόνα phising

Νέα παραλλαγή του RAT Bandook επανεμφανίζεται, στοχεύοντας τα Windows

Μια νέα παραλλαγή του κακόβουλου λογισμικού απομακρυσμένης πρόσβασης (RAT) Bandook έχει παρατηρηθεί να διαδίδεται μέσω επιθέσεων phishing με στόχο να εισχωρήσει σε μηχανήματα Windows, συνεχίζοντας τη συνεχιζόμενη εξέλιξη του κακόβουλου λογισμικού.

Προσοχή στην ασφάλεια της επιχείρησής σας, ενημερώστε άμεσα τα προγράμματα antivirus που έχετε και ενημερώστε τους υπαλλήλους σας για τον κίνδυνο.

Η Fortinet FortiGuard Labs, η οποία εντόπισε τη δραστηριότητα τον Οκτώβριο του 2023, δήλωσε ότι το κακόβουλο λογισμικό διανέμεται μέσω αρχείου PDF που εμπεριέχει έναν σύνδεσμο σε ένα αρχείο .7z προστατευμένο με κωδικό πρόσβασης.

“Αφού ο χρήστης εξαγάγει το κακόβουλο λογισμικό με τον κωδικό πρόσβασης στο αρχείο PDF, το κακόβουλο λογισμικό εγχέει το φορτίο του στο msinfo32.exe,” δήλωσε ο ερευνητής ασφάλειας Pei Han Liao.

Το Bandook, που εντοπίστηκε για πρώτη φορά το 2007, είναι ένα κακόβουλο λογισμικό ετοιμοπαράδοτο που διαθέτει ένα ευρύ φάσμα δυνατοτήτων για την απομακρυσμένη εξουσιοδότηση των μολυσμένων συστημάτων.

Τον Ιούλιο του 2021, η ουγγρική εταιρεία κυβερνοασφάλειας ESET περιέγραψε μια εκστρατεία κατασκοπίας στον κυβερνοχώρο που αξιοποιούσε μια αναβαθμισμένη παραλλαγή του Bandook για να παραβιάσει εταιρικά δίκτυα σε ισπανόφωνες χώρες όπως η Βενεζουέλα.

Bandook

Νέα Παραλλαγή Του Rat Bandook Επανεμφανίζεται, Στοχεύοντας Τα Windows - Διάγραμμα

Η αρχή της τελευταίας ακολουθίας επιθέσεων είναι ένα injector συστατικό που έχει σχεδιαστεί για να αποκωδικοποιήσει και να φορτώσει το επιβλαβές φορτίο στο msinfo32.exe, ένα δυαδικό αρχείο Windows που συγκεντρώνει πληροφορίες συστήματος για τη διάγνωση προβλημάτων υπολογιστή.

Το κακόβουλο λογισμικό, εκτός από την τροποποίηση του μητρώου των Windows για να δημιουργήσει σταθερές εγγραφές φόρτωσης στον παραβιασμένο υπολογιστή, έρχεται σε επαφή με έναν διακομιστή εντολών και ελέγχου (C2) για να ανακτήσει επιπλέον οδηγίες και κακόβουλες ενέργειες.

“Αυτές οι ενέργειες μπορούν να ομαδοποιηθούν σε κατηγορίες χειρισμού αρχείων, χειρισμού μητρώου, λήψη, κλοπή πληροφοριών, εκτέλεση αρχείων, κλήση λειτουργιών σε DLLs από το C2, έλεγχο του υπολογιστή του θύματος και τερματισμό διεργασιών” είπε ο Han Liao.

Share it

Facebook
Twitter
LinkedIn
Pinterest
Skype
WhatsApp
Telegram
Email
Scroll to Top