Một biến thể mới của trojan truy cập từ xa được gọi là Bandook đã được quan sát thấy đang được lan truyền thông qua các cuộc tấn công lừa đảo với mục đích xâm nhập vào các máy Windows, nhấn mạnh sự phát triển liên tục của phần mềm độc hại.
Fortinet FortiGuard Labs, công ty đã xác định hoạt động này vào tháng 10/2023, cho biết phần mềm độc hại được phân phối thông qua một tệp PDF nhúng liên kết đến kho lưu trữ .7z được bảo vệ bằng mật khẩu.
"Sau khi nạn nhân trích xuất phần mềm độc hại bằng mật khẩu trong tệp PDF, phần mềm độc hại sẽ tiêm trọng tải của nó vào msinfo32.exe", nhà nghiên cứu bảo mật Pei Han Liao cho biết.
Bandook, được phát hiện lần đầu tiên vào năm 2007, là một phần mềm độc hại có sẵn đi kèm với một loạt các tính năng để giành quyền kiểm soát từ xa các hệ thống bị nhiễm.
Vào tháng 7/2021, công ty an ninh mạng ESET của Slovakia đã trình bày chi tiết một chiến dịch gián điệp mạng tận dụng một biến thể nâng cấp của Bandook để vi phạm mạng công ty ở các quốc gia nói tiếng Tây Ban Nha như Venezuela.
Điểm khởi đầu của chuỗi tấn công mới nhất là một thành phần phun được thiết kế để giải mã và tải trọng vào msinfo32.exe, một tệp nhị phân Windows hợp pháp thu thập thông tin hệ thống để chẩn đoán các sự cố máy tính.
Phần mềm độc hại, bên cạnh việc thực hiện các thay đổi Windows Registry để thiết lập sự tồn tại trên máy chủ bị xâm nhập, thiết lập liên hệ với máy chủ chỉ huy và kiểm soát (C2) để truy xuất các tải trọng và hướng dẫn bổ sung.
"Những hành động này có thể được phân loại đại khái là thao túng tệp, thao túng đăng ký, tải xuống, đánh cắp thông tin, thực thi tệp, gọi các chức năng trong DLL từ C2, kiểm soát máy tính của nạn nhân, giết quá trình và gỡ cài đặt phần mềm độc hại", Han Liao nói.