نسخه جدیدی از تروجان"Bandook" منتشر شده است که تلاش میکند از طریق حملات فیشینگ به سیستمهای ویندوز نفوذ کند که نشاندهنده تکامل مداوم این نوع بدافزار است. این بدافزار از طریق یک فایل PDF که حاوی یک لینک به یک فایل 7z. با رمز عبور محافظتشده است، سیستمهای ویندوزی را آلوده میکند.
پس از استخراج بدافزار از فایل PDF، با استفاده از یک رمز عبور، بدافزار کد خود را به فایل اجرایی msinfo32.exe تزریق میکند. سپس از سرور C2 برای برقراری ارتباط با سیستم استفاده میکند و دستورات و فرامین لازم برای اجرا بر روی سیستم قربانی را از سرور C2 دریافت میکند
این بدافزار، علاوه بر ایجاد تغییرات در رجیستری ویندوز، برای استقرار دائم در سیستم قربانی، ارتباط با یک سرور کنترل و فرمان(C2) برقرار میکند تا بارهای مفید و دستورات اضافی را دریافت کند.
اقدامات مخرب دیگر این بدافزار شامل مواردی نظیر تلاش برای دستکاری فایلها و رجیستری، دانلود فایلهای اضافی، سرقت اطلاعات، اجرای فایلها، فراخوانی توابع از راه دور و از طریقDLL، کنترل کامپیوتر قربانی، قطع فرآیندهای مشکوک و حذف خود از سیستم میشوند.
محصولات تحت تأثیر
این تروجان از طریق حملات فیشینگ با هدف نفوذ به سیستمهای ویندوز گسترش یافته است.
توصیههای امنیتی
برای در امان ماندن از نفوذ بدافزار به سیستمها، کاربران باید آگاهی داشته باشند که به دقت لینکها و ضمیمههای ارسالی از منابع مشکوک را بررسی کنند و هرگونه درخواست اطلاعات حساس را تایید نکنند. استفاده از محصولات Fortinet نظیر FortiGate، FortiMail و FortiClient توصیه شده است. همچنین، سرویس FortiGuard CDR (content disarm and reconstruction) قادر است ماکروهای مخرب موجود در اسناد را غیرفعالسازی کند.
منابع خبر:
[1] https://securityaffairs.com/157065/malware/bandook-rat-targets-windows.html
[2] https://thehackernews.com/2024/01/new-bandook-rat-variant-resurfaces.html
[3] https://www.fortinet.com/blog/threat-research/bandook-persistent-threat-that-keeps-evolving
- 105