Uma nova variante do trojan de acesso remoto (RAT) Bandook foi observada sendo propagada por meio de ataques de phishing com o objetivo de infiltrar máquinas Windows, destacando a evolução contínua do malware.

A Fortinet FortiGuard Labs, que identificou a atividade em outubro de 2023, relatou que o malware é distribuído por meio de um arquivo PDF que incorpora um link para um arquivo .7z protegido por senha.

O Bandook, detectado pela primeira vez em 2007, é um malware disponível comercialmente que vem com uma ampla gama de recursos para ganhar controle remoto dos sistemas infectados.

O malware, além de fazer alterações no Registro do Windows para estabelecer persistência no host comprometido, estabelece contato com um servidor de comando e controle (C2) para recuperar cargas adicionais e instruções.

Essas ações podem ser categorizadas aproximadamente como manipulação de arquivos, manipulação de registro, download, roubo de informações, execução de arquivos, invocação de funções em DLLs do C2, controle do computador da vítima, encerramento de processos e desinstalação do malware.