Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA VARIANTE DEL TROYANO DE ACCESO REMOTO BANDOOK

14/03/2024

NUEVA VARIANTE DEL TROYANO DE ACCESO REMOTO BANDOOK
Esta nueva variante utiliza un sofisticado método de distribución a través de un archivo PDF malicioso que contiene una URL para la descarga de un archivo .7Z, este se encuentra protegido con una contraseña con el objetivo de poder infiltrarse a la máquina Windows.

Descripción: 

El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó una nueva variante de Bandook RAT, un troyano de acceso remoto que ha estado evolucionando desde su primera detección en 2007.

Una vez extraído el archivo .7Z con la contraseña del PDF, el troyano Bandook RAT inyecta su carga útil en el proceso msinfo32.exe, para crear claves de registro, controlar el comportamiento de la carga útil y otro que generar persistencia en el equipo infectado, una vez inyectada, realiza diversas acciones, inicializa con nombres clave de registros, indicadores y API. Luego utiliza PID del msinfo32.exe para encontrar claves de registro con el objetivo de decodificarlas y analizar el valor de su código de control.

Bandook RAT, utiliza dos códigos de control, denominado GUM y ACG, se encarga de establecer la persistencia del troyano creando unas copias en la carpeta SMC y modificando claves de registro para ejecutarse automáticamente. El otro código, llamado "ACG", se utiliza para descargar archivos adicionales y realizar ataques específicos.

Dentro de las comunicaciones de su comando y control (C2), envía información de la víctima a su servidor y recibe comandos que incluyen acciones como manipulación de los datos, manipulación del registro, descargas, captura de información, eliminación de sí mismo y ejecución de archivos.

Vector de infección:

Bandook RAT se puede distribuir a través de tácticas de ingeniería social, principalmente a través de correos electrónicos de tipo phishing que contienen archivos adjuntos maliciosos. Estos correos, que suelen implementar archivos PDF que contienen una URL para la descarga de un archivo 7Z, esto con el objetivo de que las víctimas abran y descarguen los archivos adjuntos, desencadenando así el proceso de infección del troyano de acceso remoto.

Recomendaciones:

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios.
  • Aplicar una política para mantener los dispositivos y sistemas operativos actualizados con los últimos parches de seguridad. Los sistemas obsoletos pueden tener vulnerabilidades que los RAT pueden aprovechar.
  • Desarrollar y comunicar un plan de respuesta a incidentes que describa los pasos a seguir si un dispositivo se ve comprometido. Este plan debe incluir aislar el dispositivo, notificar a las partes relevantes y tomar medidas para mitigar la infracción.

Leer noticia: https://thehackernews.com/2024/01/new-bandook-rat-variant-resurfaces.html