Bandook RAT变种针对Windows系统安全攻击

一种新变种Bandook远程访问木马(RAT)通过精心设计的钓鱼邮件传播,目标直指Windows用户。该新变种利用伪装的PDF文件中嵌入的链接,诱导用户下载并解压含有恶意软件的.7z压缩文件,进而注入msinfo32.exe系统文件,幕后操纵计算机并窃取信息

Bandook RAT概述

安全研究人员最近观察到一种名为Bandook的远程访问木马(RAT)新变种正在通过钓鱼攻击传播,目的是入侵Windows操作系统,这一现象凸显出恶意软件不断演变的特点。

Fortinet FortiGuard实验室于2023年10月发现了这一活动,他们指出恶意软件通过一个嵌入链接的PDF文件分发,该链接指向一个密码保护的.7z压缩文件。

“受害者在使用PDF文件中提供的密码解压恶意软件后,该软件会将其负载注入到msinfo32.exe中,”安全研究员廖培翰表示。

Bandook最初于2007年被发现,是一个成熟的恶意软件,具备众多功能,能够远程控制受感染的系统。

网络安全情报

2021年7月,斯洛伐克的网络安全公司ESET详细揭露了一起网络间谍活动,活动中使用了升级版的Bandook变种,侵入了委内瑞拉等西班牙语国家的企业网络。

Bandook RAT变种针对Windows系统安全攻击

Bandook RAT的最新攻击

最新攻击序列始于一个注入组件,该组件旨在解密并将有效载荷加载到msinfo32.exe中,这是一个合法的Windows系统文件,用于搜集系统信息并帮助诊断计算机问题。

恶意软件不仅通过修改Windows注册表来确保在受感染的主机上持久运行,还会与一个命令与控制(C2)服务器建立连接,以获取更多有效载荷和执行指令。

廖培翰补充说:“这些行为大致可以被归类为文件操纵、注册表操纵、下载、窃取信息、执行文件、从C2服务器调用动态链接库(DLL)中的函数、控制受害者的电脑、结束进程以及卸载恶意软件。”

原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/bandook-rat-variant-targets-windows-system-security-in-attack.html

(0)
上一篇 2024年1月4日 下午8:00
下一篇 2024年1月6日 下午6:05

相关推荐

发表回复

登录后才能评论