Bandook RAT-Variante zielt auf Sicherheitsangriffe auf Windows-Systeme

Eine neue Variante des Bandook Remote Access Trojaners (RAT) wurde über sorgfältig gestaltete Phishing-E-Mails verbreitet, die auf Windows-Benutzer abzielen. Die neue Variante verwendet einen Link, der in eine getarnte PDF-Datei eingebettet ist, um Benutzer dazu zu verleiten, eine komprimierte .7z-Datei herunterzuladen und zu dekomprimieren, die Malware enthält, die dann in die Systemdatei msinfo32.exe injiziert wird, den Computer manipuliert und im Hintergrund Informationen stiehlt.

Bandook RAT Übersicht

Sicherheitsforscher haben vor kurzem eine neue Variante des Remote-Access-Trojaners (RAT) namens Bandook beobachtet, die sich über Phishing-Angriffe verbreitet und das Ziel hat, das Windows-Betriebssystem zu kompromittieren - ein Phänomen, das die ständige Weiterentwicklung von Malware verdeutlicht.

Fortinet FortiGuard-LaboratorienDie Kampagne wurde im Oktober 2023 entdeckt, als man feststellte, dass die Malware über eine PDF-Datei mit einem eingebetteten Link zu einer passwortgeschützten .7z-Zip-Datei verbreitet wurde.

"Nachdem das Opfer die Malware mit dem in der PDF-Datei angegebenen Passwort dekomprimiert hat, injiziert die Software ihre Last in msinfo32.exe", so der Sicherheitsforscher Peihan Liao.

Bandook wurde ursprünglich im Jahr 2007 entdeckt und ist eine vollwertige Malware mit zahlreichen Funktionen, die es ihr ermöglichen, infizierte Systeme fernzusteuern.

NetzwerksicherheitInformationssammlung

Juli 2021, SlowakeiNetzwerksicherheitDas Unternehmen ESET hat im Detail eineInternet-Troll (Agent provocateur)Die Kampagne, bei der eine verbesserte Version der Bandook-Variante verwendet wurde, drang in Unternehmensnetzwerke in spanischsprachigen Ländern wie Venezuela ein.

Bandook RAT-Variante zielt auf Sicherheitsangriffe auf Windows-Systeme

Der jüngste Angriff auf Bandook RAT

Die jüngste Angriffssequenz beginnt mit einer Injektionskomponente, die darauf abzielt, die Nutzlast zu entschlüsseln und in msinfo32.exe zu laden, eine legitime Windows-Systemdatei, die dazu dient, Systeminformationen zu sammeln und Computerprobleme zu diagnostizieren.

Die Malware sorgt nicht nur dafür, dass sie auf infizierten Hosts bestehen bleibt, indem sie die Windows-Registrierung ändert, sondern stellt auch eine Verbindung zu einem Command-and-Control-Server (C2) her, um zusätzliche Nutzdaten zu erhalten und Befehle auszuführen.

Peihan Liao fügte hinzu: "Diese Verhaltensweisen lassen sich grob in folgende Kategorien einteilen: Dateimanipulation, Manipulation der Registrierung, Herunterladen, Stehlen von Informationen, Ausführen von Dateien, Aufrufen von Funktionen in Dynamic Link Libraries (DLLs) von C2-Servern, Übernahme der Kontrolle über den Computer des Opfers, Beenden von Prozessen und Deinstallieren von Malware."

Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/bandook-ratte-variante-zielt-auf-windows-system-sicherheit-in-attack-html

Wie (0)
Vorherige 4. Januar 2024, 20.00 Uhr.
Weiter Januar 6, 2024 um 6:05 Uhr

Empfohlen