IT之家 1 月 6 日訊息,安全公司 Fortinet FortiGuard Labs 近日釋出報告, 發現了名為 Bandook 的遠端存取變種木馬,主要針對 Windows 器材。
報道稱該木馬最早可追溯到 2007 年,當時被描述為「具有多種功能的成品惡意軟件」,其中一項功能是讓操作員遠端存取受感染的終端。
而本次曝光的最新版本透過釣魚郵件釋出的,攻擊者發送的是惡意 PDF 檔,其中嵌入了一個指向受密碼保護的 .7z 壓縮檔的連結。
安全研究員 Pei Han Liao 解釋說:「受害者用 PDF 檔中的密碼提取惡意軟件後,惡意軟件會將其有效載荷註入 msinfo32.exe 」。
Msinfo32 是一個合法的 windows 二進制檔,任務是收集系統資訊。它通常用於診斷不同的電腦問題。
Bandook 會更改 Windows 登錄檔,確保始終在背景執行,然後向其命令與控制(C2)伺服器發出進一步指令,IT之家附上 Bandook 攻擊流程圖如下:
這些行為大致可分為檔操作、登錄檔操作、下載、資訊竊取、檔執行、呼叫 C2 中 DLL 函數、控制受害者的電腦、解除安裝惡意軟件等。
