Evoluzione del RAT Bandook: come si adatta e quali rischi comporta per gli utenti Windows.
Il RAT (Remote Access Trojan) Bandook è un software malevolo che, nonostante sia in circolazione dagli albori del 2007, continua a rappresentare una persistente minaccia per gli utenti di sistemi Windows. Ricercatori di Fortinet hanno riportato alla luce una nuova variante di questo trojan, rilevante per la sua resilienza e capacità di adattamento ai continui cambiamenti del panorama informatico.
Nella sua ultima incarnazione, Bandook si propaga principalmente tramite attacchi di phishing. Questi attacchi si avvalgono di un file PDF che, mascherandosi da documento innocuo, contiene un URL abbreviato. Questo URL funge da tramite per il download di un file compresso .7z protetto da password, il quale una volta decompresso rilascia il payload maligno.
L’operazione di iniezione del codice dannoso si compie mediante l’exploit di ‘msinfo32.exe’, un file eseguibile nativo degli ambienti Windows. Il payload viene così diligentemente celato, operante sotto una veste apparentemente legittima. Dalla tabella delle risorse, il payload viene decifrato e successivamente iniettato, con le sue operazioni dettate da chiavi di registro predisposte in precedenza.
Il RAT Bandook sostiene oltre 139 comandi, gran parte dei quali ereditati dalle sue precedenti versioni. Diverse sono le aggiunte recenti, la maggior parte riguardanti l’ottimizzazione nella comunicazione con il centro di comando e controllo (C2). Tra le capacità principali offerte dal software troviamo la manipolazione di file, gestione delle chiavi di registro, scaricamento di informazioni, esecuzione di file, ed altre azioni volte ad esercitare controllo e comando sulla macchina infettata.
La ricchezza di comandi disponibili non sempre si traduce in un’ampia varietà di azioni eseguibili; questo perché molti di essi sono utilizzati per eseguire singole operazioni o invocare funzioni in moduli esterni, mentre altri sono deputati esclusivamente alla risposta alle richieste del server C2.
Nonostante le protezioni avanzate e l’incessante lavoro di monitoraggio condotto da istituzioni quali FortiGuard, la persistenza e l’evoluzione del RAT Bandook rappresentano un campanello d’allarme per la cyber security. Richiede quindi attenzione e precauzione da parte degli utenti e dei professionisti del settore per ridurne le minacce e gli impatti potenzialmente devastanti.