RAT Bandook, una nuova campagna prende di mira Windows

Lo scorso ottobre FortiGuard Labs ha identificato una nuova variante del malware Bandook, un trojan di accesso remoto in continuo sviluppo dal 2007 il cui codice trapelato online, negli anni è diventato disponibile per il download pubblico. Questa nuova variante è stata distribuita in attacchi di phishing tramite un file PDF con l’obiettivo di infiltrarsi nei sistemi Windows.

La sequenza dell’attacco

Secondo l’analisi pubblicata, il file PDF contiene uno short link che scarica un file .7z protetto da password e la password per estrarlo. Dopo che la vittima ha estratto il malware contenuto nell’archivio, lo stesso crea una chiave di registro per controllare il comportamento del payload da iniettare nel processo legittimo msinfo32.exe, lo strumento Microsoft System Information usato da Windows per diagnosticare problemi del computer.

In pratica il nome della chiave di registro è indicata dal PID del processo “msinfo32.exe” mentre il suo valore indica il codice di controllo da eseguire per l’attività che dovrà essere avviata:

  • “ACG” è il codice di controllo principale per un attacco e stabilisce un contatto con un server di comando e controllo C2 per recuperare ulteriori payload e istruzioni;
  • “GUM” è il codice di controllo per stabilire il meccanismo di persistenza.

Una variante segnalata nel 2021 richiedeva quattro codici di controllo e creava quattro processi di explorer.exe che venivano inseriti in un’unica esecuzione. Questa nuova variante utilizza meno codice di controllo e realizza una divisione più precisa dei compiti.”, spiega il ricercatore di sicurezza Pei Han Liao.

Fonte Fortiguard Labs

Tra le attività eseguite dal payload secondo le indicazioni impartite dal server C2 figurano azioni come manipolazione di file e del registro, download, furto di informazioni, esecuzione di file, controllo del computer, eliminazione processi e disinstallazione del malware.

Combinare sicurezza e consapevolezza

Per evitare questi tipi di pericolo, oltre ad installare e mantenere aggiornato una soluzione antivirus, risulta anche utile prestare attenzione ai file ricevuti tramite posta elettronica ricordando che possono essere vettori per la diffusione di malware.

Infatti solo attraverso una combinazione di software di sicurezza e consapevolezza è possibile attenuare l’impatto delle minacce informatiche e proteggere la propria sicurezza e privacy.

FortiGuard fa sapere che continuerà a monitorare le varianti del malware e fornirà protezioni adeguate.

Su Salvatore Lombardo 166 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.