Theo TechRadar, một loại mã độc mới có tên Bandook đang nhắm mục tiêu đến các thiết bị Windows, chúng ẩn nấp tinh vi trong các email lừa đảo và sử dụng các phương thức đầy “thâm độc” để xâm nhập và kiểm soát máy tính.
Các chuyên gia an ninh mạng từ FortiGuard Labs của hãng Fortinet đã phát hiện ra một phiên bản chưa từng được xác định trước đây của trojan truy cập từ xa khét tiếng mang tên Bandook. Mã độc này lần đầu tiên được phát hiện vào năm 2007 và được mô tả là đa năng đến đáng sợ. Mục đích lớn nhất của nó là cung cấp cho những kẻ tấn công quyền truy cập từ xa vào các thiết bị của nạn nhân.
Phiên bản mới nhất của Bandook hiện được phát tán theo hình thức email lừa đảo. Kẻ tấn công sẽ gửi tệp PDF độc hại có nhúng liên kết đến một tệp nén .7z được bảo vệ bằng mật khẩu. Sau khi nạn nhân giải nén dữ liệu bằng mật khẩu có trong tệp PDF, mã độc sẽ lây nhiễm vào tệp msinfo32.exe, đây là ứng dụng hợp pháp của Windows dùng để thu thập thông tin hệ thống.
Bandook sau đó sẽ thay đổi Registry để duy trì hoạt động và liên lạc với máy chủ C2 (command-and-control) để nhận thêm các thành phần độc hại khác, cho phép kẻ tấn công kiểm soát hoàn toàn máy tính.
Tên gọi Bandook dường như được bắt nguồn từ tiếng Hindi, có nghĩa là "súng". Loại malware này đã liên tục xuất hiện và biến mất trong nhiều năm. Vào năm 2020, các nhà nghiên cứu của Checkpoint đã phát hiện hàng chục biến thể của loại malware phổ biến này.
Các nhà nghiên cứu cho rằng Bandook không phải do một cá nhân hay tổ chức riêng biệt phát triển, mà có thể là một phần của các hạ tầng tấn công mạng được bán bởi bên thứ ba cho các chính phủ và tội phạm mạng trên toàn thế giới.