Ovaj potpuno novi tip malvera cilja na Windows računare, pa budite oprezni
Stručnjaci iz Fortinet’s FortiGuard Labs tvrde da su pronašli ranije neprepoznatu verziju udaljenog trojanskog konja po imenu Bandook.
Novi malver cilja uređaje sa Windows operativnim sistemom
Ovaj malver prvi put je primećen 2007. godine, prema izveštaju TheHackerNews, kada je opisan kao “gotov malver sa širokim spektrom funkcija“. Ipak, krajnji cilj mu je uvek bio isti – omogućiti operaterima udaljeni pristup zaraženim uređajima. Najnoviju verziju su primetili kako se distribuira putem phishing e-mailova. Navodno, napadači šalju zlonamerne PDF datoteke koje sadrže link ka lozinkom zaštićenoj .7z arhivi.
“Nakon što žrtva izvuče malver sa lozinkom iz PDF datoteke, malver ubacuje svoj payload u msinfo32.exe,” objasnio je istraživač za bezbednost Pei Han Liao. Msinfo32 je legitimna Windows binarna datoteka zadužena za prikupljanje informacija o sistemu i obično se koristi za dijagnozu različitih problema sa računarom.
Međutim, Bandook menja Windows Registry kako bi uspostavio postojanost, a zatim se povezuje sa svojim serverom za komandu i kontrolu (C2) kako bi zatražio dalja uputstva. Obično, uputstva uključuju drugi stadijum payloada koji omogućava pun pristup napadačima.
“Ove akcije mogu se grubo kategorizovati kao manipulacija fajlovima, manipulacija registrom, preuzimanje, krađa informacija, izvršavanje fajlova, pozivanje funkcija u DLL-ovima sa C2, kontrola žrtvinog računara, ubijanje procesa i deinstalacija malvera”, zaključio je Han Liao.
Bandook, očigledno nazvan prema reči za “pištolj” na hindiju, nestajao je i ponovo se pojavljivao tokom godina. 2020. godine, istraživači iz Checkpoint-a pronašli su “desetine digitalno potpisanih varijanti ovog nekada komercijalnog malvera”, dodajući da postoji “neobično veliki broj ciljanih sektora i lokacija”.
“U najnovijem talasu napada, ponovo smo identifikovali neobično veliki broj ciljanih sektora i lokacija. Ovo dodatno potvrđuje prethodnu hipotezu da malver nije razvijen interno i korišćen od strane jednog entiteta, već je deo ofanzivne infrastrukture prodavan od strane treće strane vladama i pretnjama širom sveta kako bi olakšao ofanzivne cyber operacije”, rekli su istraživači tada.
Izvor: Techradar
