Theo TechRadar, một loại mã độc mới được gọi là Bandook đang nhắm vào các thiết bị chạy hệ điều hành Windows. Chúng được ẩn nấp tinh vi trong các email lừa đảo và sử dụng các phương thức độc ác để xâm nhập và kiểm soát máy tính.
Các chuyên gia an ninh mạng từ FortiGuard Labs thuộc Fortinet vừa phát hiện ra một phiên bản mới của trojan độc hại có tên Bandook, mà trước đây chưa từng được biết đến. Được phát hiện lần đầu vào năm 2007, loại mã độc này được mô tả là rất đa năng và nguy hiểm. Mục tiêu chính của nó là cung cấp quyền truy cập từ xa vào các thiết bị của nạn nhân cho những kẻ tấn công.
Phiên bản mới nhất của Bandook hiện đang được phân phối qua email với hình thức lừa đảo. Kẻ tấn công sẽ gửi một tệp PDF độc hại chứa liên kết tới một tệp nén .7z được bảo vệ bằng mật khẩu. Sau khi nạn nhân giải nén tệp dữ liệu bằng mật khẩu có trong tệp PDF, mã độc sẽ lây nhiễm vào tệp msinfo32.exe, đây là một ứng dụng hợp pháp của Windows dùng để thu thập thông tin hệ thống.
Sau đó, Bandook sẽ thực hiện thay đổi Registry để duy trì hoạt động và liên lạc với máy chủ C2 (command-and-control) để nhận thêm các thành phần độc hại khác, từ đó cho phép kẻ tấn công hoàn toàn kiểm soát máy tính.
Có vẻ như tên gọi Bandook có nguồn gốc từ tiếng Hindi, có nghĩa là "súng". Loại mã độc này đã liên tục xuất hiện và biến mất trong nhiều năm. Vào năm 2020, các nhà nghiên cứu của Checkpoint đã phát hiện hàng chục phiên bản mới của loại mã độc phổ biến này.
Theo các nhà nghiên cứu, Bandook không được phát triển bởi một cá nhân hoặc tổ chức độc lập, mà có thể là một phần của hạ tầng tấn công mạng được bên thứ ba bán cho các chính phủ và tội phạm mạng trên toàn cầu.
