ESET Research ha descubierto una nueva campaña aún activa que utiliza versiones más avanzadas del antiguo crimeware Bandook para espiar a sus víctimas. La campaña en curso tiene como objetivo las redes corporativas en los países de habla hispana, con el 90% de las detecciones de telemetría de ESET en Venezuela. Los investigadores de ESET han encontrado nuevas funcionalidades y cambios en Bandook y, debido al malware utilizado y a la región a la que va dirigido, han decidido denominarla con el nombre ‘Bandidos’.
En 2021, ESET ha visto más de 200 detecciones de los droppers de este malware en Venezuela; sin embargo, no se ha podido identificar el sector específico al que se dirige esta campaña maliciosa. Según los datos de telemetría, los principales intereses de los atacantes son las redes corporativas en Venezuela: algunas en empresas de fabricación y otras en la construcción, salud, servicios de software e incluso en el comercio minorista. Dadas las capacidades del malware y el tipo de información que se exfiltra, parece que el objetivo principal de Bandidos es el espionaje.
Representación de un ataque típico dentro de la campaña Bandidos
Las posibles víctimas reciben correos electrónicos maliciosos con un archivo PDF adjunto que, a su vez, contiene un enlace para descargar junto a un archivo comprimido y la contraseña para extraerlo. Dentro de este archivo comprimido hay un ejecutable: un dropper que inyecta Bandook en un proceso de Internet Explorer. Los atacantes utilizan acortadores de URL como Rebrandly o Bitly en sus archivos adjuntos en PDF. Las URL acortadas redirigen a servicios de almacenamiento en la nube como Google Cloud Storage, SpiderOak o pCloud, desde donde se descarga el malware. El objetivo principal del dropper es descifrar, descodificar y ejecutar el payload, además de asegurar que el malware permanece en el sistema comprometido.
Bandook es un antiguo troyano de acceso remoto que, según las referencias, ya estaba disponible online en 2005, aunque su uso por parte de grupos organizados no habría sido documentado hasta 2016. Se cree que en dicho año se utilizó para atacar a periodistas y disidentes en Europa y luego, en 2018, para atacar nuevos objetivos como instituciones educativas, abogados y profesionales de la medicina. Por último, en 2020 fue observado en ataques contra múltiples sectores, como el gubernamental, el financiero, el informático y el energético.