ESET Research detecta una nueva campaña aún activa que utiliza versiones más avanzadas del antiguo crimeware Bandook para espiar a sus víctimas. La campaña en curso tiene como objetivo las redes corporativas en los países de habla hispana, con el 90 % de las detecciones de telemetría de ESET en Venezuela. Los investigadores de ESET han encontrado nuevas funcionalidades y cambios en Bandook y, debido al malware utilizado y a la región a la que va dirigido, han decidido denominarla con el nombre “Bandidos”.

En 2021, ESET ha visto más de 200 detecciones en Venezuela. Sin embargo, no se ha podido identificar el sector específico al que se dirige esta campaña maliciosa. Los principales intereses de los atacantes son las redes corporativas en Venezuela: algunas en empresas de fabricación y otras en la construcción, salud, servicios de software e incluso en el comercio minorista. Dadas las capacidades del malware y el tipo de información que se exfiltra, parece que el objetivo principal de Bandidos es el espionaje.

Las posibles víctimas reciben correos electrónicos maliciosos con un archivo PDF adjunto que, a su vez, contiene un enlace para descargar junto a un archivo comprimido y la contraseña para extraerlo. Dentro de este archivo comprimido hay un ejecutable: un dropper que inyecta Bandook en un proceso de Internet Explorer. Los atacantes utilizan acortadores de URL como Rebrandly o Bitly en sus archivos adjuntos en PDF. Las URL acortadas redirigen a servicios de almacenamiento en la nube como Google Cloud Storage, SpiderOak o pCloud, desde donde se descarga el malware. El objetivo principal del dropper es descifrar, descodificar y ejecutar el payload, además de asegurar que el malware permanece en el sistema comprometido.

«La funcionalidad de ChromeInject resulta especialmente interesante en esta campaña», comenta Fernando Tavella, investigador de ESET involucrado en el análisis de Bandidos. «Cuando se establece la comunicación con el servidor de mando y control del atacante, el payload descarga un archivo DLL que tiene un método exportado diseñado para crear una extensión maliciosa de Chrome. Dicha extensión intenta recuperar cualquier credencial que la víctima envíe a una URL, credenciales que se guardan en el almacenamiento local de Chrome».

Bandook es un antiguo troyano de acceso remoto que, según las referencias, ya estaba disponible online en 2005, aunque su uso por parte de grupos organizados no habría sido documentado hasta 2016. Se cree que en dicho año se utilizó para atacar a periodistas y disidentes en Europa y luego, en 2018, para atacar nuevos objetivos como instituciones educativas, abogados y profesionales de la medicina. Por último, en 2020 fue observado en ataques contra múltiples sectores, como el gubernamental, el financiero, el informático y el energético.

«Algunos informes previos mencionan que los desarrolladores de Bandook podrían ser desarrolladores de alquiler, lo que tiene sentido teniendo en cuenta las diversas campañas con objetivos diferentes detectadas a lo largo de los años. Sin embargo, en 2021 hemos visto solo una campaña activa: la dirigida a países de habla hispana que documentamos aquí, lo que demuestra que sigue siendo una herramienta relevante para los ciberdelincuentes», opina Matías Porolli, investigador de ESET que ha trabajado en este mismo análisis con Tavella.