Uzaktan erişim truva atının yeni bir çeşidi adı verildi Bandook Windows makinelerine sızmak amacıyla kimlik avı saldırıları yoluyla yayıldığı gözlemlendi, bu da kötü amaçlı yazılımın sürekli gelişiminin altını çiziyor.
Etkinliği Ekim 2023’te tespit eden Fortinet FortiGuard Labs, kötü amaçlı yazılımın, şifre korumalı bir .7z arşivine bağlantı içeren bir PDF dosyası aracılığıyla dağıtıldığını söyledi.
Güvenlik araştırmacısı Pei Han Liao, “Kurban, kötü amaçlı yazılımı PDF dosyasındaki parolayla çıkardıktan sonra, kötü amaçlı yazılım, yükünü msinfo32.exe dosyasına enjekte ediyor” dedi.
İlk kez 2007’de tespit edilen Bandook, virüslü sistemlerin uzaktan kontrolünü ele geçirmek için çok çeşitli özelliklerle birlikte gelen kullanıma hazır bir kötü amaçlı yazılımdır.
Temmuz 2021’de Slovak siber güvenlik firması ESET, Venezuela gibi İspanyolca konuşulan ülkelerde kurumsal ağlara sızmak için Bandook’un yükseltilmiş bir versiyonundan yararlanan bir siber casusluk kampanyasını ayrıntılarıyla anlattı.
En son saldırı dizisinin başlangıç noktası, bilgisayar sorunlarını teşhis etmek için sistem bilgilerini toplayan meşru bir Windows ikili programı olan msinfo32.exe’nin şifresini çözmek ve veriyi yüklemek için tasarlanmış bir enjektör bileşenidir.
Kötü amaçlı yazılım, ele geçirilen ana bilgisayarda kalıcılık sağlamak için Windows Kayıt Defteri değişiklikleri yapmanın yanı sıra, ek yükleri ve talimatları almak için bir komut ve kontrol (C2) sunucusuyla bağlantı kurar.
Han Liao, “Bu eylemler kabaca dosya manipülasyonu, kayıt defteri manipülasyonu, indirme, bilgi çalma, dosya yürütme, C2’den DLL’lerdeki işlevlerin çağrılması, kurbanın bilgisayarını kontrol etme, süreç öldürme ve kötü amaçlı yazılımın kaldırılması olarak sınıflandırılabilir.” dedi.