به تازگی نوع جدیدی از تروجان دسترسی از راه دور با نام Bandook مشاهده شده است که از طریق حملات فیشینگ روی سیستم های ویندوزی در حال گسترش بوده و مرتبا در حال تکامل است.
محققین فورتی نت که فعالیت این بدافزار را در اکتبر 2023 شناسایی نمودند، گفته اند این بدافزار از طریق یک فایل PDF حاوی لینک توزیع می شود. پس از آنکه قربانی بدافزار را ناخواسته از طریق لینک مذکور دانلود و باز کند، payload آن در msinfo32.exe تزریق می شود. Bandook برای اولین بار در سال 2007 به عنوان یک off-the-shelf-malware شناسایی شد که قابلیت های متنوعی برای به دست گرفتن کنترل سیستم آلوده از راه دور دارد.
در جولای 2021 تیم امنیتی ESET جزییات یک کمپین را منتشر کرد که در آن از نوع ارتقا یافته Bandook برای حمله به شبکه های سازمانهای مختلف در چند کشور استفاده شده است.
نقطه شروع آخرین توالی این حمله یک کامپوننت تزریق کننده است که طراحی شده تا payload را در msinfo32.exe (یک باینری قانونی ویندوز که اطلاعات سیستم را برای رفع مشکلات آن جمع آوری می کند) رمزنگاری و بارگذاری کند.
بدافزار مذکور علاوه بر ایجاد تغییرات در رجیستری ویندوز برای ایجاد پایداری در سیستم آسیب دیده، ارتباطی با سرور C2 برقرار کرده تا payloadهای دیگر و دستورالعملها را دریافت کند. این عملیات را می توان تقریبا با عناوین دستکاری فایل، دستکاری رجیستری، دانلود، سرقت اطلاعات، اجرای فایل فراخوانی توابع در DLLها از C2، کنترل کامپیوتر قربانی، متوقف کردن فرآیند و حذف بدافزار، دسته بندی کرد.
