新發現的Bandidos惡意軟件變身Chrome插件瞄準南美洲商業網絡
ESET的網絡安全研究人員昨天披露了一項針對南美商業網絡的惡意軟件間諜活動,其中大部分行動集中在委內瑞拉。Bandidos是Bandook的改進版,這種惡意軟件旨在針對醫療保健、軟件服務、零售、製造和建築等行業的企業。Bandook由Dark Caracal開發,在2015年至2017年間被用來收集情報,該組織聲稱代表哈薩克斯坦和黎巴嫩政府利益行事。
根據對最新攻擊的連鎖分析,潛在受害者的個人電腦可以通過打開包含PDF附件的惡意電子郵件而受到感染。該郵件提供了下載託管在pCloud、Spideroak或Google Cloud上的檔案包的網址,以及解壓所需的密碼。解開下載的文件會暴露出一個惡意軟件載荷,並將其註入正在運行的Internet Explorer會話。
在ESET檢查的最新形式的Bandook中總共檢測到132個命令,比Check Point能識別的多12個。這表明,該感染背後的網絡犯罪組織正在不斷發展其惡意工具,以使其具有更多的能力和影響力。
ESET的網絡安全研究員Fernando Tavella解釋說,該惡意軟件的巧妙之處在於它利用了瀏覽器擴展和憑證,這個被稱為ChromeInject的功能是其能夠快速傳播的主要原因。當與攻擊者的命令和控制服務器建立通信時,有效載荷會下載一個DLL文件,該文件可以導出並創建一個惡意的Chrome擴展,該惡意擴展試圖檢索受害者提交給URL的任何憑證,然後這些憑證被存儲在Chrome的本地存儲中。
該惡意軟件的功能極其豐富,其載荷能夠進行文件修改,捕捉屏幕截圖,控制受害者電腦上的鼠標指針,列出目錄內容,終止正在運行的進程,安裝惡意DLL文件,從受感染的電腦上卸載自己,從特定的網絡地址下載惡意文件,甚至將收集的信息發送到遠程服務器。