Odborníci odhaľujú malvérové ​​útoky zacielené na podnikové siete v Latinskej Amerike

Výskumníci v oblasti kybernetickej bezpečnosti vo štvrtok ukončili novú prebiehajúcu špionážnu kampaň zameranú na podnikové siete v španielsky hovoriacich krajinách, konkrétne vo Venezuele, s cieľom špehovať jej obete.

ESET nazývaný „Bandidos“ vďaka použitiu inovovaného variantu malvéru Bandook, hlavným cieľom aktéra hrozby sú podnikové siete v juhoamerickej krajine zahŕňajúce sektory výroby, stavebníctva, zdravotníctva, softvérových služieb a maloobchodu.

Bandook, napísaný v Delphi aj C++, má históriu predaja ako komerčný trójsky kôň so vzdialeným prístupom (RAT), ktorý siaha až do roku 2005. Odvtedy sa na poli hrozieb objavilo množstvo variant, ktoré sa začali používať v rôznych sledovacích kampaniach. v rokoch 2015 a 2017, údajne kybernetickou žoldnierskou skupinou známou ako Dark Caracal v mene vládnych záujmov v Kazachstane a Libanone.

V rámci neustáleho oživenia trójskeho koňa Bandook Check Point minulý rok zverejnil tri nové vzorky – z ktorých jedna podporovala 120 príkazov – ktoré použil ten istý protivník na zasiahnutie vlády, financií, energetiky, potravinárskeho priemyslu, zdravotníctva, školstva, IT a právne inštitúcie so sídlom v Čile, na Cypre, v Nemecku, Indonézii, Taliansku, Singapure, Švajčiarsku, Turecku a USA

Najnovší reťazec útokov sa začína tým, že potenciálne obete dostávajú škodlivé e-maily s prílohou PDF, ktorá obsahuje skrátenú adresu URL na stiahnutie komprimovaného archívu hosťovaného v službách Google Cloud, SpiderOak alebo pCloud a heslo na jeho extrahovanie. Rozbalenie archívu odhalí kvapkadlo škodlivého softvéru, ktoré dekóduje a vloží Bandook do procesu Internet Explorera.

Je zaujímavé, že najnovší variant Bandooku analyzovaný spoločnosťou ESET obsahuje 132 príkazov, oproti 120 príkazom, ktoré uvádza Check Point, čo naznačuje, že zločinecká skupina za malvérom vylepšuje svoje škodlivé nástroje s vylepšenými schopnosťami a údernou silou.

„Obzvlášť zaujímavá je funkcia ChromeInject,“ povedal výskumník ESET Fernando Tavella. “Keď je nadviazaná komunikácia s útočníkovým príkazovým a riadiacim serverom, užitočné zaťaženie stiahne súbor DLL, ktorý má exportovanú metódu, ktorá vytvorí škodlivé rozšírenie prehliadača Chrome. Škodlivé rozšírenie sa pokúsi získať všetky poverenia, ktoré obeť odošle na adresu URL. Tieto poverenia sú uložené v miestnom úložisku prehliadača Chrome.“

Niektoré z hlavných príkazov, ktoré je užitočné zaťaženie schopné spracovať, zahŕňajú vypisovanie obsahu adresára, manipuláciu so súbormi, vytváranie snímok obrazovky, ovládanie kurzora na počítači obete, inštaláciu škodlivých knižníc DLL, ukončenie spustených procesov, sťahovanie súborov z konkrétnej adresy URL, extrahovanie výsledkov operácie na vzdialený server a dokonca aj odinštalovanie z infikovaných počítačov.

Ak vôbec niečo, vývoj je ďalším znakom toho, že protivníci môžu stále využívať staré riešenia v oblasti kriminality na uľahčenie útokov.

“[Bandook’s] účasť v rôznych špionážnych kampaniach […] nám ukazuje, že je to stále relevantný nástroj pre kyberzločincov,“ uviedli vedci. „Ak vezmeme do úvahy aj úpravy malvéru v priebehu rokov, ukazuje nám to záujem kyberzločincov naďalej používať tento malvér v škodlivých kampaniach. , čím sa stáva sofistikovanejším a ťažšie zistiteľným.“