Una nuova variante di Bandook RAT prende di mira le macchine Windows

Bandook, una nuova forma di trojan per l'accesso remoto, è stata individuata diffondersi attraverso tentativi di phishing con l'obiettivo di infiltrare dispositivi Windows, evidenziando l'evoluzione continua del malware.

Secondo Fortinet FortiGuard Labs, che ha scoperto questo comportamento nell'ottobre 2023, il virus viene trasmesso attraverso un file PDF che include un collegamento a un archivio .7z protetto da password.

"Dopo che la vittima estrae il malware con la password dal file PDF, il malware inietta il suo payload in msinfo32.exe", ha dichiarato il ricercatore di sicurezza Pei Han Liao.

Bandook, inizialmente scoperto nel 2007, è un malware pronto all'uso con una varietà di funzioni per controllare a distanza i sistemi infetti.

ESET, un'azienda slovacca di sicurezza informatica, ha segnalato un tentativo di spionaggio informatico nel luglio 2021 che ha utilizzato una variante potenziata di Bandook per accedere alle reti aziendali in paesi di lingua spagnola, tra cui il Venezuela.

Il processo dell'ultimo attacco inizia con un componente iniettore progettato per decodificare e caricare il payload in msinfo32.exe, un programma Windows autentico che raccoglie informazioni di sistema per diagnosticare problemi informatici.

Oltre a modificare il Registro di sistema di Windows per mantenere la persistenza sull'host compromesso, il malware comunica con un server di comando e controllo (C2) per raccogliere nuovi payload ed istruzioni.

"Queste azioni possono essere approssimativamente categorizzate come manipolazione di file, manipolazione del Registro di sistema, download, furto di informazioni, esecuzione di file, invocazione di funzioni in DLL dal C2, controllo del computer della vittima, terminazione di processi e disinstallazione del malware", ha dichiarato Han Liao, il principale investigatore della ricerca.