Jump to content

Bandook: un viejo conocido que vuelve a la carga

YTSTYA
 Share

Recommended Posts

YTSTYA Grand Master

YTSTYA

Posted
Posted

depositphotos_34831199-stock-photo-priva

Bandook: un viejo conocido que vuelve a la carga

Una nueva ola de ataques contra multitud de sectores ha vuelto a surgir de la mano de una nueva versión del viejo troyano Bandook, que fue utilizado por primera vez hace casi 13 años.

Los diferentes sectores atacados incluyen instituciones gubernamentales, financieras, energéticas, alimentarias, sanitarias, educativas e informáticas ubicadas en Chile, Chipre, Alemania, Indonesia, Italia, Singapur, Suiza, Turquía y Estados Unidos.

El uso de Bandook RAT para realizar espionaje a escala global fue documentado por primera vez por Electronic Frontier Foundation (EFF) y Lookout a principios de 2018.


Capture2.png?w=1489&ssl=1

Figura 1: Diagrama de flujo de la infección

La infección consta de tres etapas que comienza con un documento de Microsoft Word descarga macros maliciosas al ser abierto por una víctima. Posteriormente procede a ejecutar la segunda etapa mediante una secuencia de comandos de PowerShell cifrada dentro del documento word original.

En la última fase del ataque, este script de PowerShell se utiliza para descargar partes ejecutables codificadas de servicios de almacenamiento en la nube como Dropbox o Bitbucket para ensamblar Bandook RAT, que luego se encarga de inyectarlo en un nuevo proceso de Internet Explorer.


image-16.png?w=549&ssl=1



Figura 2: Componentes del malware una vez descomprimidos en la máquina de la víctima


El Bandook RAT, disponible comercialmente a partir de 2007, cuenta con todas las capacidades típicamente asociadas a backdoors, ya que establece contacto con un servidor controlado de forma remota para recibir comandos adicionales que van desde las capturas de pantalla hasta la realización de varias operaciones relacionadas con archivos.

La nueva variante de Bandook es una versión reducida del malware con soporte para 11 comandos, mientras que las versiones anteriores presentaban hasta 120 comandos.

Ver información original al respecto en Fuente>

https://unaaldia.hispasec.com/2020/11/bandook-un-viejo-conocido-que-vuelve-a-la-carga.html
 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...