Recientemente, ha resurgido una variante del Remote Access Trojan (RAT) conocido como Bandook, causando alarma en la comunidad de seguridad informática. En este artículo proporcionaremos una visión detallada de esta amenaza, explicando su funcionamiento, impacto y medidas de prevención.
Bandook es un tipo de malware que permite a un atacante remoto tomar el control de un sistema infectado. Originalmente detectado en 2007, fue utilizado en campañas de ciberespionaje y cibercrimen. La nueva variante ha incorporado características avanzadas, haciéndolo más peligroso y difícil de detectar.
Te podrá interesar leer: Detección de Malware con Yara y Wazuh
Se ha notado la aparición de una nueva variante de un troyano de acceso remoto conocido como Bandook, que se está difundiendo a través de ataques de phishing con el objetivo de infiltrarse en sistemas Windows, lo que resalta la continua evolución del malware.
La actividad fue identificada en octubre de 2023 y se ha observado que el malware se propaga mediante un archivo PDF que contiene un enlace a un archivo .7z protegido por contraseña. Una vez que la víctima extrae el malware utilizando la contraseña del archivo PDF, este inyecta su carga útil en msinfo32.exe, según indicó el investigador de seguridad Pei Han Liao.
Bandook, que fue descubierto por primera vez en 2007, es un malware ampliamente conocido que ofrece diversas funcionalidades para obtener control remoto sobre los sistemas infectados. En julio de 2021, se informó de una campaña de ciberespionaje que utilizó una variante mejorada de Bandook para infiltrar redes corporativas en países de habla hispana como Venezuela.
El inicio de la última secuencia de ataque involucra un componente inyector diseñado para descifrar y cargar la carga útil en msinfo32.exe, un archivo legítimo de Windows utilizado para recopilar información del sistema con fines de diagnóstico.
Además de modificar el Registro de Windows para mantener su persistencia en el sistema comprometido, el malware establece comunicación con un servidor de comando y control (C2) para recibir cargas útiles adicionales y seguir instrucciones.
Las acciones realizadas por el malware incluyen la manipulación de archivos, la manipulación de registros, descargas, robo de información, ejecución de archivos, invocación de funciones desde archivos DLL a través del C2, control de la computadora de la víctima, terminación de procesos y desinstalación del malware, según lo detallado por Han Liao.
Te podrá interesar leer: Desentrañando el Mundo de la Ciberseguridad C2
Para protegerse contra el RAT Bandook, se recomiendan varias prácticas:
Podría interesarte leer: ¿Tu software está al día?: Importancia de los Parches
El RAT Bandook es un ejemplo claro de cómo las amenazas cibernéticas están en constante evolución. La clave para protegerse contra tales amenazas es la educación, la preparación y la adopción de prácticas de seguridad robustas. Mantenerse informado y alerta puede ser la mejor defensa en un mundo digital cada vez más vulnerable.