Reconozca como actúa el malware Bandook

Share

El equipo de investigación de ESET, detectó una campaña de espionaje hacia redes corporativas en varios países de habla hispana, con el 90% de las detecciones en Venezuela. El malware que utilizan es Bandook, un antiguo troyano de acceso remoto (RAT).

ESET registró más de 200 detecciones de este malware en Venezuela en 2021, pero no identificó un sector en particular siendo apuntado por esta campaña. El ataque comienza con correos electrónicos que incluyen un archivo PDF malicioso como adjunto y que son enviados a los blancos de ataque. El archivo PDF contiene un enlace para descargar un archivo comprimido y la contraseña para extraerlo. Dentro del archivo hay un ejecutable: un dropper que inyecta Bandook en un proceso de Internet Explorer. 

Pie de imagen: Descripción general de un ataque típico en la campaña Bandidos.

Los correos electrónicos que contienen estos archivos adjuntos suelen incluir mensajes breves. El número de teléfono en la parte inferior del mensaje es un número de teléfono móvil en Venezuela, pero desde ESET aseguran que es poco probable que esté relacionado de alguna manera con los atacantes.

Pie de imagen: Ejemplo de correo electrónico malicioso

Los atacantes utilizan acortadores de URL como Rebrandly o Bitly en los archivos PDF adjuntos que utilizan. Las URL abreviadas redirigen a servicios de almacenamiento en la nube, como Google Cloud StorageSpiderOak o pCloud, desde donde se descarga el malware.

    

Pie de imagen:. Ejemplos de archivos PDF malicioso