Bandook RAT Übersicht
Sicherheitsforscher haben vor kurzem eine neue Variante des Remote-Access-Trojaners (RAT) namens Bandook beobachtet, die sich über Phishing-Angriffe verbreitet und das Ziel hat, das Windows-Betriebssystem zu kompromittieren - ein Phänomen, das die ständige Weiterentwicklung von Malware verdeutlicht.
Fortinet FortiGuard-LaboratorienDie Kampagne wurde im Oktober 2023 entdeckt, als man feststellte, dass die Malware über eine PDF-Datei mit einem eingebetteten Link zu einer passwortgeschützten .7z-Zip-Datei verbreitet wurde.
"Nachdem das Opfer die Malware mit dem in der PDF-Datei angegebenen Passwort dekomprimiert hat, injiziert die Software ihre Last in msinfo32.exe", so der Sicherheitsforscher Peihan Liao.
Bandook wurde ursprünglich im Jahr 2007 entdeckt und ist eine vollwertige Malware mit zahlreichen Funktionen, die es ihr ermöglichen, infizierte Systeme fernzusteuern.
NetzwerksicherheitInformationssammlung
Juli 2021, SlowakeiNetzwerksicherheitDas Unternehmen ESET hat im Detail eineInternet-Troll (Agent provocateur)Die Kampagne, bei der eine verbesserte Version der Bandook-Variante verwendet wurde, drang in Unternehmensnetzwerke in spanischsprachigen Ländern wie Venezuela ein.
Der jüngste Angriff auf Bandook RAT
Die jüngste Angriffssequenz beginnt mit einer Injektionskomponente, die darauf abzielt, die Nutzlast zu entschlüsseln und in msinfo32.exe zu laden, eine legitime Windows-Systemdatei, die dazu dient, Systeminformationen zu sammeln und Computerprobleme zu diagnostizieren.
Die Malware sorgt nicht nur dafür, dass sie auf infizierten Hosts bestehen bleibt, indem sie die Windows-Registrierung ändert, sondern stellt auch eine Verbindung zu einem Command-and-Control-Server (C2) her, um zusätzliche Nutzdaten zu erhalten und Befehle auszuführen.
Peihan Liao fügte hinzu: "Diese Verhaltensweisen lassen sich grob in folgende Kategorien einteilen: Dateimanipulation, Manipulation der Registrierung, Herunterladen, Stehlen von Informationen, Ausführen von Dateien, Aufrufen von Funktionen in Dynamic Link Libraries (DLLs) von C2-Servern, Übernahme der Kontrolle über den Computer des Opfers, Beenden von Prozessen und Deinstallieren von Malware."
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/bandook-ratte-variante-zielt-auf-windows-system-sicherheit-in-attack-html