Cybersäkerhetsföretaget Fortinet har nyligen identifierat en utvecklad variant av den ökända Bandook, en trojan som upptäcktes första gången 2007 och som är ökänd i cybersäkerhetskretsar. Denna senaste variant introducerar en avancerad nivå av komplexitet genom att använda en ny distributionsmetod som innefattar en PDF-fil tillsammans med en förkortad webbadress där man försöker få offren att ladda ned en lösenordskyddad fil.
När filen är extraherad med lösenordet inbäddat i PDF:en injicerar trojanen diskret sin nyttolast i den kritiska systemprocessen msinfo32.exe.
Trojanen skickar sedan offrens information till en server. Därifrån sjösätts olika åtgärder, från manipulation av filer till stöld av känslig information. Just kommunikationen med servern visar på en hög grad av sofistikation, med nya kommandon som introducerats i den senaste varianten och som utvidgar dess kapaciteter. Bland annat har trojanen möjlighet att övervaka offrets skärm och manipulera webbläsarinställningar, inklusive att inaktivera skyddsmekanismer i webbläsaren Microsoft Edge.
Företaget har identifierat tre nya kommandon i den senaste Bandook-varianten, vilket visar på anpassningsförmåga och uthållighet. Dessa kommandon inkluderar skrivning av krypterade backup-URL:er till registret, tolkning av cookies från webbläsare och etablering av en särskild överlevnadsmekanism.
Cybersäkerhetsföretaget skriver i sin rapport att den nya varianten visar på en oroande utvecklingen av Bandook, framför allt på grund av dess förmåga att dynamiskt anpassa sina taktiker. I takt med att hotlandskapet fortsätter att utvecklas blir det allt viktigare med proaktiv övervakning och robusta skyddsåtgärder mot sofistikerade trojaner som Bandook.