Malware Bandook vuelve a la acción en Latam

Se reveló una campaña de spear-phishing en curso dirigida a redes corporativas en América Latina. En estos ataques se ha utilizado una variante mejorada del malware Bandook. Investigadores de ESET apodaron la campaña como Bandidos. Los sectores objetivo incluyen los servicios de construcción, manufactura, salud, comercio minorista y software. Principalmente se ha visto actividad de […]

Se reveló una campaña de spear-phishing en curso dirigida a redes corporativas en América Latina. En estos ataques se ha utilizado una variante mejorada del malware Bandook.

Investigadores de ESET apodaron la campaña como Bandidos. Los sectores objetivo incluyen los servicios de construcción, manufactura, salud, comercio minorista y software. Principalmente se ha visto actividad de esta campaña en Venezuela.

La cadena de ataque comienza cuando las víctimas reciben correos electrónicos maliciosos con un archivo PDF adjunto. Este contiene una URL abreviada (por Bitly) para descargar un archivo comprimido. Por ende, a simple vista no es tan fácil de identificar. El correo, además, incluye otros datos en la firma, como nombre, cargo y número telefónico, lo que busca engañar a las víctimas.

Dichos archivos están alojados en SpiderOak, pCloud o Google Cloud, junto a una contraseña para la extracción. Después de eso, suelta un dropper (troyano) que inyecta Bandook en un proceso de Internet Explorer.

La variante reciente de Bandook viene con 132 comandos, 120 comandos más altos que la variante observada anteriormente. Esto significa que los atacantes han mejorado las capacidades del malware.

Algunos de los comandos principales incluyen enumerar el contenido del directorio, tomar capturas de pantalla, controlar el cursor en las máquinas infectadas, manipular archivos, instalar DLL maliciosos y otros.

Una de las características interesantes del malware reciente es ChromeInject. Esta funcionalidad tiene como objetivo robar las credenciales de la víctima. El payload descarga un archivo DLL una vez que se establece la comunicación con el servidor C2, y este crea una extensión de Chrome maliciosa.

La extensión de Chrome creada maliciosamente intenta obtener las credenciales que la víctima agrega a una URL. Estas credenciales agregadas se guardan en el almacenamiento local de Chrome.