10.07.2021 | Операторы Bandook вооружились новой версией вредоноса для шпионажа в Латинской Америке |
Исследователи в области кибербезопасности из компании ESET рассказали о текущей кампании по шпионажу, нацеленной на корпоративные сети в испаноязычных странах, особенно в Венесуэле. Кампания получила название Bandidos из-за использования обновленного варианта вредоносного ПО Bandook. Основными целями злоумышленников являются корпоративные сети в Латинской Америке, охватывающие производственный сектор, строительство, здравоохранение, услуги программного обеспечения и розничную торговлю. Вредоносная кампания начинается с рассылки потенциальным жертвами электронных писем с PDF-файлом, который содержит сокращенный URL-адрес для загрузки сжатого архива с Google Cloud, SpiderOak или pCloud, и пароль для его извлечения. Извлечение архива запускает загрузчик для декодировки и внедрения вредоноса Bandook в процесс Internet Explorer. Последний вариант Bandook, проанализированный ESET, содержит 132 команды по сравнению со 120 командами в других версиях вредоноса. Это означает, что преступная группировка постоянно модифицирует и улучшает свои вредоносные инструменты. Эксперты отметили одну из функциональностей под названием ChromeInject. Когда связь с C&C-сервером злоумышленника установлена, полезная нагрузка загружает DLL-файл, создающий вредоносное расширение в Google Chrome. Вредоносное расширение пытается получить любые учетные данные, которые жертва вводит на вредоносном URL-адресе. Некоторые из основных команд, которые может выполнять полезная нагрузка, включают перечисление содержимого каталогов, манипулирование файлами, создание снимков экрана, управление курсором на устройстве жертвы, установку вредоносных DLL-библиотек, завершение запущенных процессов, загрузку файлов с определенного URL-адреса, отправка результатов операции на удаленный сервер и даже самоудаление с зараженной системы. |
Проверить безопасность сайта