Исследование ESET обнаруживает Bandidos, новую шпионскую кампанию в Венесуэле

БРАТИСЛАВА, МОНРЕАЛЬ – Компания ESET Research недавно обнаружила новую и все еще активную кампанию, в которой используются более продвинутые версии старого криминального бандбука для слежки за своими жертвами. Текущая кампания нацелена на корпоративные сети в испаноязычных странах, при этом 90% обнаружений телеметрии ESET приходится на Венесуэлу. Исследователи ESET обнаружили новые функциональные возможности и изменения в Bandook. Из-за используемого вредоносного ПО и целевого языка ESET решила назвать эту кампанию Bandidos. 

В 2021 году ESET обнаружила более 200 обнаружений вредоносных программ-капельниц в Венесуэле; однако определить конкретную вертикаль, на которую нацелена эта вредоносная кампания, не удалось. Согласно данным телеметрии, основными интересами злоумышленников являются корпоративные сети в Венесуэле: одни в производственных компаниях, а другие в строительстве, здравоохранении, программных услугах и даже розничной торговле. Учитывая возможности вредоносного ПО и вид удаляемой информации, похоже, что основной целью Bandidos является шпионаж. 

Потенциальные жертвы получают вредоносные электронные письма с вложением в формате PDF. Файл PDF содержит ссылку для загрузки сжатого архива и пароль для его извлечения. Внутри архива находится исполняемый файл: капельница, которая вводит Bandook в процесс Internet Explorer. Злоумышленники используют сокращители URL-адресов, такие как Rebrandly или Bitly, в своих вложениях в PDF. Сокращенные URL-адреса перенаправляют на облачные службы хранения, такие как Google Cloud Storage, SpiderOak или pCloud, откуда загружается вредоносное ПО. Основная цель капельницы-расшифровать, расшифровать и запустить полезную нагрузку, а также убедиться, что вредоносное ПО сохраняется в скомпрометированной системе. 

“Особенно интересна функциональность ChromeInject”, - говорит Фернандо Тавелла, исследователь ESET, который исследовал кампанию Bandidos. “Когда связь с сервером управления и управления злоумышленника установлена, полезная нагрузка загружает DLL-файл, который имеет экспортированный метод, создающий вредоносное расширение Chrome. Вредоносное расширение пытается получить любые учетные данные, которые жертва отправляет по URL-адресу. Эти учетные данные хранятся в локальном хранилище Chrome”.

Bandook-это старый троян для удаленного доступа. Есть ссылки на то, что он был доступен в Интернете еще в 2005 году, хотя его использование организованными группами не было задокументировано до 2016 года. В 2016 году, как сообщается, он использовался для нападения на журналистов и диссидентов в Европе. Затем, в 2018 году, он был использован для атаки на новые цели, такие как учебные заведения, юристы и медицинские работники. Наконец, в 2020 году это было замечено в атаках на несколько секторов, включая правительство, финансы, ИТ и энергетику.

“В предыдущих отчетах упоминалось, что разработчики Bandook могут быть разработчиками по найму, что имеет смысл, учитывая различные кампании с различными целями, которые наблюдались на протяжении многих лет. Однако мы должны отметить, что в 2021 году мы видели только одну активную кампанию: кампанию, нацеленную на испаноязычные страны, которую мы здесь документируем. Это показывает, однако, что он по-прежнему является актуальным инструментом для киберпреступников”, - считает Матиас Поролли, исследователь ESET, который работал над анализом с Тавеллой.