Ovaj malver prvi put je zapažen 2007. godine, prema izvještaju TheHackerNews, kada je opisan kao “gotov malver sa širokim spektrom funkcija“.
Ipak, krajnji cilj mu je uvijek bio isti – omogućiti operaterima udaljeni pristup zaraženim uređajima.
Najnoviju verziju su zapazili kako se distribuira putem phishing e-mailova. Navodno, napadači šalju zlonamjerne PDF datoteke koje sadrže link ka lozinkom zaštićenoj .7z arhivi.
– Nakon što žrtva izvuče malver sa lozinkom iz PDF datoteke, malver ubacuje svoj payload u msinfo32.exe – objasnio je istraživač za bezbjednost Pei Han Liao. Msinfo32 je legitimna Windows binarna datoteka zadužena za prikupljanje informacija o sistemu i obično se koristi za dijagnozu različitih problema sa računarom.
Međutim, Bandook mijenja Windows Registry kako bi uspostavio postojanost, a zatim se povezuje sa svojim serverom za komandu i kontrolu (C2) kako bi zatražio dalja uputstva. Obično, uputstva uključuju drugi stadijum payloada koji omogućava pun pristup napadačima.
– Ove akcije mogu se grubo kategorizovati kao manipulacija fajlovima, manipulacija registrom, preuzimanje, krađa informacija, izvršavanje fajlova, pozivanje funkcija u DLL-ovima sa C2, kontrola žrtvinog računara, ubijanje procesa i deinstalacija malvera – zaključio je Han Liao.
Bandook, očigledno nazvan prema riječi za “pištolj” na hindiju, nestajao je i ponovo se pojavljivao tokom godina. 2020. godine, istraživači iz Checkpoint-a pronašli su “desetine digitalno potpisanih varijanti ovog nekada komercijalnog malvera”, dodajući da postoji “neobično veliki broj ciljanih sektora i lokacija”.
– U najnovijem talasu napada, ponovo smo identifikovali neobično veliki broj ciljanih sektora i lokacija. Ovo dodatno potvrđuje prethodnu hipotezu da malver nije razvijen interno i korišćen od strane jednog entiteta, već je deo ofanzivne infrastrukture prodavan od strane treće strane vladama i pretnjama širom sveta kako bi olakšao ofanzivne cyber operacije rekli su istraživači tada, prenosi PC Press.
Najnovije vijesti Srpskainfo i na Viberu