ESET повідомляє про виявлення нової активної шкідливої кампанії Bandidos
Компанія ESET оголошує про відкриття нової активної кампанії зі зловмисного програмного забезпечення Bandidos
Компанія ESET повідомляє про виявлення нової і все ще активної кампанії зі зловмисного програмного забезпечення Bandidos з використанням поліпшених версій відомої загрози Bandook. Можливості загрози і вид перехопленої інформації вказують на шпигунство як на головну мету кіберзлочинців.
Згідно з даними телеметрії ESET, основними цілями зловмисників є корпоративні мережі компаній в сфері виробництва, будівництва, охорони здоров'я, програмних послуг і навіть роздрібної торгівлі.
Потенційні жертви отримують шкідливі електронні листи з PDF-файлом, який містить посилання для завантаження стисненого архіву і пароль для його розпакування. Усередині архіву знаходиться виконуваний файл, завантажувач, який запускає Bandook в процес Internet Explorer. У доданих PDF-файлах зловмисники скорочують URL-адреси за допомогою служб Rebrandly або Bitly.
У свою чергу, скорочені URL-адреси перенаправляють жертв на хмарні служби зберігання файлів, такі як Google Cloud Storage, SpiderOak або pCloud, з яких завантажується шкідливе програмне забезпечення . Основною метою загрози є декодування, розшифровка і запуск шкідливого компонента, а також забезпечення його збереження в скомпрометованої системі.
"Особливо цікавий функціонал ChromeInject. Зокрема, при встановленні з'єднання з командно-контрольним сервером зловмисника компонент завантажує файл DLL для створення шкідливого розширення Chrome. У свою чергу, шкідливерозширення намагається отримати будь-які облікові дані жертви, які потім зберігаються в локальному сховищі Chrome" , - коментує дослідник ESET.
Варто відзначити, що Bandook - відомий троян віддаленого доступу, який був доступний в інтернеті ще в 2005 році, хоча його використання зловмисниками не було зафіксовано до 2016 року під час атак в Європі. Після цього в 2018 році загроза використовувалася для нападу на навчальні заклади, а також на працівників юридичних і медичних установ. А в 2020 році троян використовувався в атаках на кілька секторів, зокрема, державний, фінансовий, IT і енергетичний.
"У попередніх звітах зазначалося, що автори Bandook можуть бути кіберзлочинцями-найманцями через різніцілі їхніх шкідливих кампаній протягом багатьох років. Однак у 2021 році було зафіксовано лише одну кампанію, що свідчить про актуальність інструменту для кіберзлочинців", - коментує дослідник ESET.
