Troijalaisten klassikko Bandook on palannut uudessa muodossa

Kyberturvallisuusyhtiö Fortine tunnisti äskettäin kehittyneen variantin tietoturvapiirien pahamaineisena pitämästä Bandook-troijalaisesta, joka havaittiin ensi kerran vuonna 2007.

Haittaohjelman uusin versio on edistyneen monimutkainen ja hyödyntää uutta jakelumenetelmää. Se sisältää PDF-tiedoston sekä lyhennetyn verkko-osoitteen, jossa uhria houkutellaan lataamaan salasanalla suojattu tiedosto. 

Kun tiedosto puretaan PDF-tiedostoon upotetulla salasanalla, troijalainen lisää hyötykuormansa huomaamattomasti kriittiseen msinfo32.exe-järjestelmäprosessiin. Tämän jälkeen haittaohjelma lähettää uhrin tiedot palvelimelle. Sieltä käsin hyökkääjät voivat käynnistää erilaisia toimintoja tiedostojen manipuloinnista arkaluonteisten tietojen varastamiseen.

Palvelimen kanssa kommunikointi on osoitus troijalaisen kehittyneisyydestä, ja Bandookin viimeisimmässä variantissa on otettu käyttöön uusia ja haittaohjelman ominaisuuksia laajentavia komentoja. Troijalainen voi muun muassa tarkkailla uhrin näyttöä ja muuttaa selaimen asetuksia, esimerkiksi poistamalla Microsoft Edge -selaimen suojausmekanismeja käytöstä.

Fortinet on tunnistanut viimeisimmässä Bandook-variantissa kolme uutta komentoa, jotka osoittavat haittaohjelman olevan sopeutumiskykyinen ja kestävä. Komennot mahdollistavat salattujen varmuuskopio-URL-osoitteiden kirjoittamisen rekisteriin, selainevästeiden tulkinnan ja erityisen selviytymismekanismin luomisen. 

Fortinetin raportin mukaan uuden Bandook-variantin kehittyminen on erityisen huolta herättävää siksi, että se on osoitus dynaamisesta taktiikanmukautuskyvystä. Uhkaympäristön muuttuessa ennakoivasta valvonnasta tulee yhä tärkeämpää ja Bandookin kaltaisia kehittyneitä troijalaisia vastaan suunnattujen vahvojen suojatoimien merkitys vain kasvaa. 

Voit lukea koko raportin osoitteessa: https://www.fortinet.com/blog/threat-research/bandook-persistent-threat-that-keeps-evolving