Bandook RAT 新变种针对 Windows 发起网络钓鱼攻击

据安全网站消息，Fortinet 研究人员发现了一种名为 Bandook 的新远程访问木马变种（RAT）。 近期，攻击者利用该木马对Windows用户发起钓鱼攻击。

该木马的历史可以追溯到2007年，并且正在不断开发中。 各种攻击者利用该木马进行了多次攻击。

最新消息是，Bandook 木马的变种是通过带有 PDF 附件的电子邮件传播的。 PDF 文件包含一个缩短的 URL，用于下载受密码保护的 .7z 文件。 从PDF文件中提取恶意软件后，注入器解密资源表中的有效负载并将有效负载注入到msinfo32.exe中。 有效负载的行为由注入之前创建的注册表项的值决定。

根据 Fortinet 发布的分析报告，“如果注入成功，payload 会初始化注册表项、标志和 API 等字符串。然后，payload 使用注入的 msinfo32.exe 查找注册表项：标识符（PID），解码和解析关键值，并执行控制代码指定的任务。

Bandook 木马有效负载支持 139 种操作，其中大部分在之前的变种中使用，最近的变种添加了针对 C2 的附加命令。沟通。 这意味着Bandook木马在不断改进。

典型的Bandook操作包括文件操作、注册表操作、下载、信息窃取、文件执行、从C2调用DLL中的函数，

报告称，该恶意软件包含许多用于 C2 通信的命令，但其有效负载执行的任务少于命令的数量。 这是因为当使用多个命令执行单个操作时，有些命令用于调用其他模块中的函数，有些命令仅用于响应服务器。

报告指出，Bandook并未观察到本次攻击中的整个系统，FortiGuard将继续监控恶意软件变种并提供相应的保护。