Una variante reciente del troyano de acceso remoto, Bandook, ha sido identificada propagándose a través de tácticas de phishing. Su enfoque principal es la infiltración de sistemas operativos Windows, evidenciando así la constante mutación y desarrollo continuo de este malware.

Fortinet FortiGuard Labs, al descubrir esta actividad en octubre de 2023, informó que el malware se propaga mediante un archivo PDF que contiene un enlace hacia un archivo .7z protegido por contraseña.

Según el investigador de seguridad Pei Han Liao, “Una vez que la víctima extrae el malware utilizando la contraseña del archivo PDF, este inyecta su carga útil en msinfo32.exe”.

Bandook, inicialmente identificado en 2007, es un malware disponible en el mercado que ofrece una amplia gama de funciones diseñadas para obtener control remoto sobre los sistemas infectados.

En julio de 2021, la firma eslovaca de ciberseguridad ESET expuso una campaña de ciberespionaje que utilizó una versión mejorada de Bandook para comprometer redes corporativas en naciones de habla hispana, como Venezuela.

La secuencia de ataque comienza con un componente inyector diseñado para descifrar y cargar la carga útil en msinfo32.exe, un binario legítimo de Windows utilizado para recopilar información del sistema con fines de diagnóstico.

Además de realizar ajustes en el Registro de Windows para asegurar su persistencia en el sistema comprometido, el malware establece contacto con un servidor de comando y control (C2) para recuperar cargas útiles e instrucciones adicionales.

Según Han Liao, el investigador de seguridad, “Estas acciones se pueden clasificar de manera general como manipulación de archivos, manipulación de registros, descargas, robo de información, ejecución de archivos, invocación de funciones en archivos DLL desde el C2, control de la computadora de la víctima, eliminación de procesos y desinstalación de malware”.

Conclusiones:

La última secuencia de ataque, protagonizada por una variante mejorada de Bandook, revela la sofisticación y la persistencia de las amenazas cibernéticas en constante evolución. La utilización de un componente inyector para manipular un binario legítimo de Windows, junto con la establecida conexión a un servidor de comando y control (C2), destaca la ingeniería detrás de este malware.

El malware no se limita solo a la inyección y manipulación de archivos; sus acciones abarcan áreas críticas como registros, descargas, robo de información y control remoto de la computadora de la víctima. La capacidad de desinstalación y eliminación de procesos sugiere una amenaza altamente adaptable y peligrosa.

Recomendaciones:

1. Actualizaciones Constantes: Mantener sistemas operativos y software actualizados es esencial para mitigar vulnerabilidades y reducir la exposición a amenazas como esta variante de Bandook.
2. Concientización del Usuario: Capacitar a los usuarios sobre prácticas seguras en línea, especialmente en relación con el manejo de archivos y la identificación de posibles ataques de phishing, puede prevenir infecciones.
3. Implementación de Soluciones de Seguridad: Contar con soluciones de seguridad avanzadas, como firewalls y programas antivirus actualizados, puede ayudar a detectar y bloquear amenazas antes de que comprometan el sistema.
4. Monitoreo Activo: Establecer un sistema de monitoreo proactivo puede permitir la detección temprana de actividades sospechosas, facilitando respuestas rápidas y la mitigación de posibles daños.
5. Respuesta Rápida a Incidentes: Desarrollar un plan de respuesta a incidentes detallado para abordar rápidamente cualquier compromiso de seguridad puede minimizar el impacto y acelerar la recuperación.
6. Colaboración y Compartir Información: Fomentar la colaboración entre entidades gubernamentales, organizaciones de seguridad y el sector privado puede mejorar la capacidad de respuesta colectiva frente a amenazas cibernéticas. El intercambio de información es clave para anticipar y contrarrestar futuros ataques.
7. Revisión de Políticas de Seguridad: Actualizar y fortalecer las políticas de seguridad de la organización, incluyendo la gestión de contraseñas y los permisos de usuario, puede reducir las posibilidades de éxito de ataques cibernéticos.

Estas recomendaciones forman una sólida base para enfrentar amenazas cibernéticas, proteger la integridad de los sistemas y preservar la seguridad de la información.

fuente: thehackernews