Il ritorno del malware Bandook, utenti Windows nel mirino

Può un malware rilevato per la prima volta nel 2007 essere ancora attivo e pericoloso? Considerando Bandook, la risposta a questa domanda è senza dubbio sì.

Stiamo parlando di un trojan di accesso remoto (RAT), ampiamente diffuso online attraverso attacchi phishing e con il chiaro obiettivo di prendere possesso dei sistemi Windows.

La nuova e più pericolosa versione dell’agente malevolo è stata individuata da FortiGuard Labs lo scorso mese di ottobre, con conseguente controllo e analisi delle sue funzionalità. Secondo gli esperti, il malware viene distribuito via file PDF, con incorporato al suo interno un link verso un archivio .7z protetto attraverso password. Il suddetto file PDF contiene una password che, se utilizzata sull’archivio, va ad attivare un pericoloso payload.

Questo agisce a livello di msinfo32.exe, un file legittimo di Windows che raccoglie informazioni per diagnosticare problemi del sistema operativo. Una volta attivato, Bandook non si limita a modificare i registri di sistema, ma va a stabilire un contatto diretto con un server di comando e controllo, avviando lo scaricamento e l’attivazione di altri payload.

Bandook, un RAT attivo addirittura dall’ormai lontano 2007

Come già accennato, Bandook è attivo da svariati anni e, in questo lasso di tempo, si è distinto rispetto a tanti altri malware per l’ampia gamma di funzionalità che lo rendono uno strumento ideale per prendere il controllo da remoto di un sistema infetto.

FortiGuard Labs, per voce dell’esperto Pei Han Liao, ha spiegato come una volta che Bandook si è infiltrato in un sistema Windows, può agire in svariati modi. A tal proposito, si spazia dall’ulteriore manipolazioni dei registri al furto di informazioni, fino all’esecuzione di file indesiderati fino alla disattivazione di determinati software.

Per evitare questo tipo di pericolo, oltre ad installare e mantenere aggiornato un ottimo antivirus, può essere utile fare grande attenzione quando si ha a che fare con determinati file ricevuti tramite posta elettronica. Come già affermato, archivi e file PDF possono essere considerati come vettori ideali per diffondere online agenti malevoli.