Ha sido observada una nueva variante de troyano de acceso remoto llamada Bandook, la cual ha sido propagada a través de ataques de phishing con el objetivo de infiltrarse en máquinas con sistema operativo Windows. Esto subraya la continua evolución del malware.
Fortinet FortiGuard Labs, quienes identificaron la actividad en octubre de 2023, afirmaron que el malware es distribuido a través de un archivo PDF que incrusta un enlace a un archivo .7z protegido por contraseña.
«Después de que la víctima extrae el malware con la contraseña del archivo PDF, éste inyecta su carga en msinfo32.exe», dijo el investigador de seguridad Pei Han Liao.
Bandook, descubierto por primera vez en 2007, es un malware de venta libre que cuenta con una amplia gama de características para obtener control remoto de los sistemas infectados.
En julio de 2021, la firma de ciberseguridad eslovaca ESET detalló una campaña de espionaje cibernético que aprovechó una variante actualizada de Bandook para infiltrarse en redes corporativas de países de habla hispana como Venezuela.
El punto de inicio de la última secuencia de ataque es un componente de inyección diseñado para descifrar y cargar la carga útil en msinfo32.exe, un archivo binario legítimo de Windows que recopila información del sistema para diagnosticar problemas informáticos.
Además de realizar cambios en el Registro de Windows para establecer persistencia en el host comprometido, el malware establece contacto con un servidor de comando y control (C2) para recuperar cargas útiles e instrucciones adicionales.
«Estas acciones pueden ser clasificadas aproximadamente como manipulación de archivos, manipulación del Registro, descarga, robo de información, ejecución de archivos, invocación de funciones en bibliotecas dinámicas cargadas desde el C2, control del equipo de la víctima, matar procesos y desinstalar el malware», afirmó Han Liao.
