Una nueva ola de ataques contra multitud de sectores ha vuelto a surgir de la mano de una nueva versión del viejo troyano Bandook, que fue utilizado por primera vez hace casi 13 años.

Los diferentes sectores atacados incluyen instituciones gubernamentales, financieras, energéticas, alimentarias, sanitarias, educativas e informáticas ubicadas en Chile, Chipre, Alemania, Indonesia, Italia, Singapur, Suiza, Turquía y Estados Unidos.

El uso de Bandook RAT para realizar espionaje a escala global fue documentado por primera vez por Electronic Frontier Foundation (EFF) y Lookout a principios de 2018.

Figura 1: Diagrama de flujo de la infección

La infección consta de tres etapas que comienza con un documento de Microsoft Word descarga macros maliciosas al ser abierto por una víctima. Posteriormente procede a ejecutar la segunda etapa mediante una secuencia de comandos de PowerShell cifrada dentro del documento word original.

En la última fase del ataque, este script de PowerShell se utiliza para descargar partes ejecutables codificadas de servicios de almacenamiento en la nube como Dropbox o Bitbucket para ensamblar Bandook RAT, que luego se encarga de inyectarlo en un nuevo proceso de Internet Explorer.

Figura 2: Componentes del malware una vez descomprimidos en la máquina de la víctima

El Bandook RAT, disponible comercialmente a partir de 2007, cuenta con todas las capacidades típicamente asociadas a backdoors, ya que establece contacto con un servidor controlado de forma remota para recibir comandos adicionales que van desde las capturas de pantalla hasta la realización de varias operaciones relacionadas con archivos.

La nueva variante de Bandook es una versión reducida del malware con soporte para 11 comandos, mientras que las versiones anteriores presentaban hasta 120 comandos.

Anexo: Comandos Bandook

Command Functionality
@0001 Descargar y ejecutar archivo via HTTP
@0002 Descargar y ejecutar archivo via TCP
@0003 Tomar captura de pantalla
@0004 Listar discos duros
@0005 Listar archivos
@0006 Subir archivo
@0007 Descargar archivo
@0008 Ejecutar shell
@0009 Mover archivo
@0010 Borrar archivo
@0011 Obtener IP pública

Más información:

Bandook: Signed & Delivered Check Point Research. 2020-11-26. https://research.checkpoint.com/2020/bandook-signed-delivered/