Вариант Bandook RAT нацелен на атаки на безопасность системы Windows

Новый вариант троянца Bandook Remote Access Trojan (RAT) распространяется через тщательно разработанные фишинговые письма, предназначенные для пользователей Windows. Новый вариант использует ссылку, встроенную в замаскированный PDF-файл, чтобы побудить пользователей загрузить и распаковать сжатый файл .7z, содержащий вредоносное ПО, которое затем внедряется в системный файл msinfo32.exe, манипулируя компьютером и похищая информацию за кулисами.

Обзор Bandook RAT

Исследователи безопасности недавно обнаружили новый вариант троянца удаленного доступа (RAT) под названием Bandook, распространяющийся через фишинговые атаки с целью компрометации операционной системы Windows, что свидетельствует о постоянной эволюции вредоносного ПО.

Fortinet FortiGuard LabsКампания была обнаружена в октябре 2023 года, когда они отметили, что вредоносная программа распространялась через PDF-файл со встроенной ссылкой на защищенный паролем zip-файл .7z.

"После того как жертва распаковывает вредоносную программу, используя пароль, указанный в PDF-файле, она внедряет свою загрузку в файл msinfo32.exe", - говорит исследователь безопасности Пейхан Ляо (Peihan Liao).

Обнаруженный в 2007 году, Bandook представляет собой полноценную вредоносную программу с многочисленными функциями, позволяющими удаленно контролировать зараженные системы.

информационная безопасностьсбор информации

Июль 2021 года, Словакияинформационная безопасностьКомпания ESET подробно раскрылакибершпионажКампания, в которой использовалась обновленная версия варианта Bandook, проникла в корпоративные сети в испаноязычных странах, таких как Венесуэла.

Вариант Bandook RAT нацелен на атаки на безопасность системы Windows

Последняя атака на Bandook RAT

Последняя последовательность атак начинается с инъекционного компонента, предназначенного для расшифровки и загрузки полезной нагрузки в msinfo32.exe, легитимный системный файл Windows, используемый для сбора системной информации и диагностики проблем компьютера.

Вредоносная программа не только обеспечивает постоянное присутствие на зараженных узлах путем изменения реестра Windows, но и устанавливает связь с командно-контрольным (C2) сервером для получения дополнительной полезной нагрузки и выполнения команд.

Пейхан Ляо добавил: "Эти действия можно разделить на следующие категории: манипуляции с файлами, реестром, загрузка, кража информации, выполнение файлов, вызов функций в динамических библиотеках ссылок (DLL) с серверов C2, получение контроля над компьютером жертвы, завершение процессов и деинсталляция вредоносного ПО".

Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/вариант-крысы-bandook-нацелен-на-безопаснос-2.

Нравиться (0)
Предыдущий 4 января 2024 г. пп8:00
Следующий 6 января 2024 г. пп6:05

связанное предложение