Securityaffairs網(wǎng)站消息，F(xiàn)ortinet的研究人員發(fā)現(xiàn)了一種新的名為Bandook的遠(yuǎn)程訪問變種木馬（RAT），近日，威脅攻擊者利用該木馬對Windows用戶發(fā)起了網(wǎng)絡(luò)釣魚攻擊。

該木馬最早可追溯到2007年，至今一直在不斷發(fā)展，不同威脅行為者已經(jīng)利用該木馬進(jìn)行了多次攻擊活動。

最近一次曝光，Bandook變種木馬通過附件為PDF文件的電子郵件進(jìn)行傳播。該P(yáng)DF文件包含一個用于下載受密碼保護(hù)的.7z文件的縮短URL。當(dāng)從PDF文件中提取惡意軟件后，注入器會在資源表中解密載荷并將有效載荷注入到msinfo32.exe中，而有效載荷的行為是由注入前創(chuàng)建的注冊表鍵值決定的。

Fortinet發(fā)布的分析報告顯示，“一旦注入成功，載荷就會初始化注冊表鍵名、標(biāo)志、API等的字符串。在此之后，載荷使用被注入的msinfo32.exe的進(jìn)程標(biāo)識符（PID）來查找注冊表鍵，然后解碼并解析鍵值，以執(zhí)行控制碼指定的任務(wù)。”

Bandook木馬的有效載荷支持139種動作，其中大部分在之前的變種中已經(jīng)使用過了，最近的變種又增加了用于C2通信的附加命令，這意味著Bandook木馬還在持續(xù)改進(jìn)。

Bandook的常見行為包括文件操作、注冊表操作、下載、信息竊取、文件執(zhí)行、從C2調(diào)用dll中的函數(shù)、控制受害者的計算機(jī)、終止進(jìn)程以及卸載惡意軟件等。

報告指出，這個惡意軟件包含大量用于C2通信的命令，但其有效載荷執(zhí)行的任務(wù)數(shù)量少于命令的數(shù)量。這是因為多個命令被用來執(zhí)行單一動作時，有些命令用于調(diào)用其他模塊中的函數(shù)，還有些命令僅用于對服務(wù)器進(jìn)行響應(yīng)。

報告表示，Bandook在這次攻擊中沒有觀察到整個系統(tǒng)，F(xiàn)ortiGuard將繼續(xù)監(jiān)控惡意軟件的變種，并提供相應(yīng)的防護(hù)措施。