Операторы Bandook вооружились новой версией вредоноса для шпионажа в Латинской Америке

Операторы Bandook вооружились новой версией вредоноса для шпионажа в Латинской Америке

Вредоносная кампания начинается с рассылки потенциальным жертвами электронных писем с вредоносом.

image

Исследователи в области кибербезопасности из компании ESET рассказали о текущей кампании по шпионажу, нацеленной на корпоративные сети в испаноязычных странах, особенно в Венесуэле.

Кампания получила название Bandidos из-за использования обновленного варианта вредоносного ПО Bandook. Основными целями злоумышленников являются корпоративные сети в Латинской Америке, охватывающие производственный сектор, строительство, здравоохранение, услуги программного обеспечения и розничную торговлю.

Вредоносная кампания начинается с рассылки потенциальным жертвами электронных писем с PDF-файлом, который содержит сокращенный URL-адрес для загрузки сжатого архива с Google Cloud, SpiderOak или pCloud, и пароль для его извлечения. Извлечение архива запускает загрузчик для декодировки и внедрения вредоноса Bandook в процесс Internet Explorer.

Последний вариант Bandook, проанализированный ESET, содержит 132 команды по сравнению со 120 командами в других версиях вредоноса. Это означает, что преступная группировка постоянно модифицирует и улучшает свои вредоносные инструменты.

Эксперты отметили одну из функциональностей под названием ChromeInject. Когда связь с C&C-сервером злоумышленника установлена, полезная нагрузка загружает DLL-файл, создающий вредоносное расширение в Google Chrome. Вредоносное расширение пытается получить любые учетные данные, которые жертва вводит на вредоносном URL-адресе.

Некоторые из основных команд, которые может выполнять полезная нагрузка, включают перечисление содержимого каталогов, манипулирование файлами, создание снимков экрана, управление курсором на устройстве жертвы, установку вредоносных DLL-библиотек, завершение запущенных процессов, загрузку файлов с определенного URL-адреса, отправка результатов операции на удаленный сервер и даже самоудаление с зараженной системы.


В нашем Телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на жизнь людей.