Експертите од FortiGuard Labs на Fortinet тврдат дека пронашле досега непризнаена верзија на далечинскиот тројански коњ наречен Бандук. Новиот малициозен софтвер ги таргетира Windows уредите
Според извештајот на TheHackerNews , овој малициозен софтвер првпат е забележан во 2007 година, кога бил опишан како „готов малвер со широк опсег на функции“. Сепак, неговата крајна цел отсекогаш била иста – да им овозможи на операторите далечински пристап до заразените уреди. Тие забележале дека најновата верзија се дистрибуира преку е-пошта за фишинг. Наводно, напаѓачите испраќаат злонамерни PDF-датотеки кои содржат линк до .7z архива заштитена со лозинка.
„Откако жртвата ќе го извлече малициозниот софтвер за лозинка од PDF-датотеката, малициозниот софтвер го вбризгува својот товар во msinfo32.exe“, објаснил безбедносниот истражувач Пеи Хан Лиао. Msinfo32 е легитимна бинарна датотека на Windows одговорна за собирање информации за системот и вообичаено се користи за дијагностицирање на различни компјутерски проблеми.
Сепак, Бандук го менува регистарот на Windows за да воспостави упорност и потоа се поврзува со неговиот сервер за команда и контрола (C2) за да побара дополнителни инструкции. Вообичаено, инструкциите вклучуваат оптоварување од втора фаза што овозможува целосен пристап до напаѓачите. „Овие дејства може грубо да се категоризираат како манипулација со датотеки, манипулација со регистар, преземање, кражба на информации, извршување датотеки, функции за повикување во DLL од C2, контрола на компјутерот на жртвата, убивање процеси и деинсталирање на малициозен софтвер“, заклучува Хан Лиао.
Бандук, очигледно именуван по зборот за „пиштол“ на хинди јазикот, исчезнувал и повторно се појавувал со текот на годините. Во 2020 година, истражувачите на Checkpoint открија „десетици дигитално потпишани варијанти на овој некогаш комерцијален малициозен софтвер“, додавајќи дека има „невообичаено голем број насочени сектори и локации“.
„Во последниот бран напади, повторно идентификувавме невообичаено голем број на целни сектори и локации. Ова дополнително ја поддржува претходната хипотеза дека малициозниот софтвер не бил развиен внатрешно и користен од еден ентитет, туку дел од навредлива инфраструктура продадена од трета страна на владите и закани ширум светот за да се олеснат навредливите сајбер операции“, велат истражувачите во тоа време.