Новая шпионская кампания Bandidos атакует корпоративные сети

Компания ESET ― лидер в области информационной безопасности ― сообщает об обнаружении новой и все еще активной вредоносной кампании Bandidos с использованием усовершенствованных версий известной угрозы Bandook. Возможности угрозы и тип перехваченной информации свидетельствуют о шпионаже как основной цели киберпреступников.

Согласно данным телеметрии ESET, основными целями злоумышленников являются корпоративные сети компаний в области производства, строительства, здравоохранения, программных услуг и даже розничной торговли.

Потенциальные жертвы получают вредоносные электронные письма с PDF-файлом, который содержит ссылки для загрузки сжатого архива и пароль для его распаковки. Внутри архива находится исполняемый файл ― загрузчик, который запускает Bandook в процесс Internet Explorer. Во вложенных PDF-документах злоумышленники сокращают URL-адреса с помощью сервисов Rebrandly или Bitly.

В свою очередь, сокращенные URL-адреса перенаправляют жертв на облачные сервисы для хранения файлов, такие как Google Cloud Storage, SpiderOak или pCloud, из которых загружается вредоносное программное обеспечение. Основная цель угрозы ― декодировать, расшифровывать и запускать вредоносный компонент, а также обеспечить его сохранение в скомпрометированной системе.

«Особенно интересен функционал ChromeInject. В частности, когда устанавливается связь с командным сервером злоумышленника, компонент загружает файл DLL для создания вредоносного расширения Chrome. В свою очередь, вредоносное расширение пытается получить любые учетные данные жертвы, которые затем сохраняются в локальном хранилище Chrome», ― комментирует исследователь компании ESET.

Последовательность атаки Bandidos с помощью функционала угрозы Bandook. ESET.

Рис.1. Обзор типичной атаки Bandidos.

Стоит отметить, что Bandook ― известный троян удаленного доступа, который был доступен в Интернете еще в 2005 году, хотя его использование злоумышленниками не было зафиксировано до 2016 года во время атак в Европе. После этого, в 2018 году угрозу использовали для атак на учебные заведения, а также работников юридических и медицинских учреждений. А в 2020 году троян применялся в атаках на несколько секторов, в частности, государственный, финансовый, IT и энергетический.

«В предыдущих отчетах отмечалось, что авторы Bandook могут быть наемными киберпреступниками из-за разных целей их вредоносных кампаний в течение многих лет. Однако в 2021 году была зафиксирована только одна кампания, что свидетельствует об актуальности инструмента для киберпреступников», ― комментирует исследователь ESET.

Более подробная информация о Bandidos доступна по ссылке.

 

Читайте также:

Анализ в облачной песочнице: как улучшить выявление угроз

Безопасность корпоративных устройств: три шага для усиления защиты

Современные комплексные решения ESET для всесторонней и мощной защиты предприятий