Vn-Z.vn Ngày 06 tháng 01 năm 2024, Cuối tháng 12 năm 2023 , Công ty bảo mật Fortinet FortiGuard Labs đã phát hiện ra một biến thể của Trojan có tên Bandook, nhắm mục tiêu chủ yếu vào các thiết bị , hệ thống Windows.
Trojan này xuất hiện từ năm 2007 , thời điểm Trojan này xuất hiện được mô tả là "phần mềm độc hại sẵn có với nhiều khả năng", một trong số đó là cho phép hacker vận hành truy cập từ xa vào các điểm cuối bị nhiễm.
Phiên bản mới nhất của Trojan này hiện đang được phát hành qua các email lừa đảo, nội dung email được những hacker gửi kèm những tệp PDF độc hại có liên kết nhúng tới tệp nén .7z được bảo vệ bằng mật khẩu.
Nhà nghiên cứu bảo mật Pei Han Liao giải thích: “Sau khi nạn nhân trích xuất phần mềm độc hại bằng mật khẩu từ tệp PDF, phần mềm độc hại sẽ đưa xâm nhập vào msinfo32.exe”. File msinfo32.exe là một trong những tiện ích hệ thống được cung cấp bởi Microsoft Windows để cung cấp thông tin chi tiết về cấu hình và cài đặt hệ thống của người dùng Windows. Khi chạy file này trên hệ điều hành Windows, nó sẽ mở ra một công cụ thông tin hệ thống, cho phép bạn xem thông tin về phần cứng, phần mềm, cấu hình mạng, các dịch vụ đang chạy và nhiều thông tin khác về hệ thống của mình.
Msinfo32 là một hệ nhị phân Windows hợp pháp có nhiệm vụ thu thập thông tin hệ thống. Nó thường được sử dụng để chẩn đoán các vấn đề máy tính khác nhau.
Bandook sẽ thay đổi sổ đăng ký Windows để đảm bảo rằng nó luôn chạy ở chế độ nền, sau đó đưa ra các hướng dẫn tiếp theo cho máy chủ, ra lệnh và kiểm soát (C2) .
Sơ đồ luồng tấn công của Trojan Bandook
Những hành vi độc hại của Trojan cơ bản bao gồm các thao tác tệp, thao tác đăng ký, tải xuống, đánh cắp thông tin, thực thi tệp, gọi các hàm DLL trong C2, điều khiển máy tính nạn nhân, gỡ cài đặt phần mềm, v.v.
Một biến thể Trojan Bandook đã được phát hiện vào năm 2021 yêu cầu bốn mã điều khiển và tạo ra bốn tiến trình của explorer.exe mà nó injected vào trong một lần thực thi duy nhất. Biến thể mới này sử dụng ít mã điều khiển hơn và phân chia công việc một cách chính xác hơn.
Việc một Trojan truy cập từ xa như Bandook tồn tại và phát triển liên tục là một rủi ro nghiêm trọng cho an ninh mạng. Các loại malware như vậy thường được sử dụng để xâm nhập trái phép vào hệ thống, đánh cắp thông tin quan trọng, kiểm soát từ xa hệ thống hoặc thậm chí làm hỏng hệ thống.
Sự tiến triển và sự hiện đại hóa của chúng làm cho việc phát hiện và ngăn chặn trở nên khó khăn hơn, đặc biệt là khi chúng tiến hành các biện pháp che giấu thông minh và thay đổi liên tục. Điều này đặt ra thách thức lớn đối với cộng đồng an ninh mạng và đòi hỏi các biện pháp bảo mật mạnh mẽ và cập nhật liên tục để bảo vệ hệ thống khỏi các loại Trojan và các mối đe dọa mạng khác.
Vn-Z.vn team tổng hợp tham khảo nguồn Fortinet FortiGuard Labs
Trojan này xuất hiện từ năm 2007 , thời điểm Trojan này xuất hiện được mô tả là "phần mềm độc hại sẵn có với nhiều khả năng", một trong số đó là cho phép hacker vận hành truy cập từ xa vào các điểm cuối bị nhiễm.
Nhà nghiên cứu bảo mật Pei Han Liao giải thích: “Sau khi nạn nhân trích xuất phần mềm độc hại bằng mật khẩu từ tệp PDF, phần mềm độc hại sẽ đưa xâm nhập vào msinfo32.exe”. File msinfo32.exe là một trong những tiện ích hệ thống được cung cấp bởi Microsoft Windows để cung cấp thông tin chi tiết về cấu hình và cài đặt hệ thống của người dùng Windows. Khi chạy file này trên hệ điều hành Windows, nó sẽ mở ra một công cụ thông tin hệ thống, cho phép bạn xem thông tin về phần cứng, phần mềm, cấu hình mạng, các dịch vụ đang chạy và nhiều thông tin khác về hệ thống của mình.
Msinfo32 là một hệ nhị phân Windows hợp pháp có nhiệm vụ thu thập thông tin hệ thống. Nó thường được sử dụng để chẩn đoán các vấn đề máy tính khác nhau.
Bandook sẽ thay đổi sổ đăng ký Windows để đảm bảo rằng nó luôn chạy ở chế độ nền, sau đó đưa ra các hướng dẫn tiếp theo cho máy chủ, ra lệnh và kiểm soát (C2) .
Sơ đồ luồng tấn công của Trojan Bandook
Những hành vi độc hại của Trojan cơ bản bao gồm các thao tác tệp, thao tác đăng ký, tải xuống, đánh cắp thông tin, thực thi tệp, gọi các hàm DLL trong C2, điều khiển máy tính nạn nhân, gỡ cài đặt phần mềm, v.v.
Một biến thể Trojan Bandook đã được phát hiện vào năm 2021 yêu cầu bốn mã điều khiển và tạo ra bốn tiến trình của explorer.exe mà nó injected vào trong một lần thực thi duy nhất. Biến thể mới này sử dụng ít mã điều khiển hơn và phân chia công việc một cách chính xác hơn.
Việc một Trojan truy cập từ xa như Bandook tồn tại và phát triển liên tục là một rủi ro nghiêm trọng cho an ninh mạng. Các loại malware như vậy thường được sử dụng để xâm nhập trái phép vào hệ thống, đánh cắp thông tin quan trọng, kiểm soát từ xa hệ thống hoặc thậm chí làm hỏng hệ thống.
Sự tiến triển và sự hiện đại hóa của chúng làm cho việc phát hiện và ngăn chặn trở nên khó khăn hơn, đặc biệt là khi chúng tiến hành các biện pháp che giấu thông minh và thay đổi liên tục. Điều này đặt ra thách thức lớn đối với cộng đồng an ninh mạng và đòi hỏi các biện pháp bảo mật mạnh mẽ và cập nhật liên tục để bảo vệ hệ thống khỏi các loại Trojan và các mối đe dọa mạng khác.
Vn-Z.vn team tổng hợp tham khảo nguồn Fortinet FortiGuard Labs
