Klassikkotroijalainen Bandook on päässyt uuteen iskuun

Kyberturvallisuusyhtiö Fortinet tunnisti äskettäin kehittyneen variantin tietoturvapiirien pahamaineisena pitämästä Bandook-troijalaisesta, joka havaittiin ensi kerran vuonna 2007.

Haittaohjelman uusin versio on Fortinetin tiedotteen mukaan edistyneen monimutkainen ja hyödyntää uutta jakelumenetelmää. Se sisältää PDF-tiedoston sekä lyhennetyn verkko-osoitteen, jossa uhria houkutellaan lataamaan salasanalla suojattu tiedosto.

Kun tiedosto puretaan PDF-tiedostoon upotetulla salasanalla, troijalainen lisää hyötykuormansa huomaamattomasti kriittiseen msinfo32.exe-järjestelmäprosessiin.

Tämän jälkeen haittaohjelma lähettää uhrin tiedot palvelimelle. Sieltä käsin hyökkääjät voivat käynnistää erilaisia toimintoja tiedostojen manipuloinnista arkaluonteisten tietojen varastamiseen.

Palvelimen kanssa kommunikointi on osoitus troijalaisen kehittyneisyydestä, ja Bandookin viimeisimmässä variantissa on otettu käyttöön uusia ja haittaohjelman ominaisuuksia laajentavia komentoja. Troijalainen voi muun muassa tarkkailla uhrin näyttöä ja muuttaa selaimen asetuksia, esimerkiksi poistamalla Microsoft Edge -selaimen suojausmekanismeja käytöstä.

Fortinet on tunnistanut viimeisimmässä Bandook-variantissa kolme uutta komentoa, jotka osoittavat haittaohjelman olevan sopeutumiskykyinen ja kestävä. Komennot mahdollistavat salattujen varmuuskopio-URL-osoitteiden kirjoittamisen rekisteriin, selainevästeiden tulkinnan ja erityisen selviytymismekanismin luomisen.