Como uma fênix que renasce das cinzas, Bandook ressuscitou depois de vários anos. Bandook, escrito em Delphi e C++, foi visto pela primeira vez em 2007 como um RAT disponível comercialmente, desenvolvido por um libanês chamado PrinceAli.
Ao longo dos anos, variantes do Bandook vazaram na Web e o malware ficou disponível para download público.
O Bandook foi apresentado pela última vez nas campanhas Operação Manul em 2015 e Dark Caracal em 2017. Durante o ano passado, dezenas de variantes assinadas digitalmente do outrora famoso Bandook começaram a reaparecer no cenário de ameaças.
Governo, finanças, energia, indústria alimentar, saúde, educação, TI e instituições jurídicas são os setores-alvo.
Singapura, Chipre, Chile, Itália, EUA, Turquia, Suíça, Indonésia e Alemanha. Não os locais turísticos, mas os países-alvo.
Considerando que uma grande variedade de setores e países foram visados, suspeita-se que o malware não seja desenvolvido por uma única entidade, mas por uma infraestrutura ofensiva e esteja a ser vendido a governos e agentes de ameaças em todo o mundo.
Estágios da infecção
A cadeia de malware pode ser descrita em cerca de 3 etapas conforme descrito na imagem abaixo:
Estágio 1 – Documentos de atração
O documento do Microsoft Word alvo consiste em dados de script maliciosos criptografados e um modelo externo que aponta para um documento contendo macros VBA maliciosas.
Este modelo externo é baixado por meio de um serviço da web de encurtamento de URL e redireciona para outro domínio que é controlado pelo invasor, onde o código VBA é executado automaticamente, descriptografa os dados incorporados do documento de atração original e descarta os dados decodificados em dois arquivos em a pasta do usuário local: fmx.ps1 e sdmc.jpg
Exemplos de nomes de arquivos de documentos:
- Remessa da Malásia.docx
- Remessa para Jacarta.docx
- contêineres malta.docx
- Documentos certificados.docx
- Documentos autenticados.docx
- extrato bancário.docx
- passaporte e documentos.docx
- Rascunho do caso.docx
- digitalização de documentos.docx
Estágio 2 – Carregador Powershell
Após o primeiro estágio, fmx.ps1 e sdmc.jpg chamam fmx.ps1, que é um script curto do PowerShell que decodifica e executa um PowerShell codificado em base64 armazenado em sdmc.jpg.
Agora, o script PowerShell decodificado baixa um arquivo zip contendo quatro arquivos de um serviço de nuvem como Dropbox, Bitbucket ou um bucket S3. O arquivo zip é armazenado na pasta Pública do usuário e os quatro arquivos são extraídos localmente.
O 3 os arquivos a.png, b.png e untitled.png geram a carga útil do malware. O arquivo untitled.png é na verdade uma imagem válida que contém uma função RC4 oculta codificada nos valores RGB dos pixels, criada usando uma ferramenta conhecida chamada invocar-PSImage.
Por fim, o script do PowerShell executa o malware, abre draft.docx e exclui todos os artefatos anteriores da pasta Pública.
draft.docx é um documento benigno que convence a vítima de que o documento não está mais disponível e que a execução geral foi bem-sucedida.
O documento visto após a infecção:
Estágio 3 – Carregador Bandook
A carga final é uma variante do Bandook que começa com um carregador para criar uma nova instância de um processo do Internet Explorer e injetar uma carga maliciosa nela. A carga entra em contato com o servidor C&C, envia informações básicas sobre a máquina infectada e aguarda comandos adicionais do servidor. Também se verifica que é válido Certo certificados foram usados para assinar o executável do malware Bandook.
Existem três variantes disponíveis atualmente:
- Uma versão completa com 120 comandos (não assinados)
- Uma versão completa (amostra única) com 120 comandos (assinados)
- Uma versão simplificada com 11 comandos (assinados)
Isso indica que os operadores desejam reduzir a pegada do malware e minimizar suas chances de uma campanha não detectada contra alvos de alto perfil, enquanto o uso da versão do comando 120 não assinado pode ser usado para alvos de baixo perfil.
Todas as evidências apontam para a nossa crença de que os operadores misteriosos por trás da infra-estrutura maliciosa de “Operação Manul” e “Caracal Escuro” ainda estão vivos e operacionais, dispostos a ajudar nas operações cibernéticas ofensivas a quem estiver disposto a pagar. É bom tomar as medidas necessárias para evitar isso desde os primeiros estágios.
