Bandook 变种木马曝光：针对 Win10、Win11 设备，可窃取敏感信息

IT之家 1 月 6 日消息，安全公司 Fortinet FortiGuard Labs 近日发布报告，发现了名为 Bandook 的远程访问变种木马，主要针对 Windows 设备。

报道称该木马最早可追溯到 2007 年，当时被描述为“具有多种功能的成品恶意软件”，其中一项功能是让操作员远程访问受感染的终端。

而本次曝光的最新版本通过钓鱼邮件发布的，攻击者发送的是恶意 PDF 文件，其中嵌入了一个指向受密码保护的 .7z 压缩文件的链接。

安全研究员 Pei Han Liao 解释说：“受害者用 PDF 文件中的密码提取恶意软件后，恶意软件会将其有效载荷注入 msinfo32.exe”。

Msinfo32 是一个合法的 windows 二进制文件，任务是收集系统信息。它通常用于诊断不同的计算机问题。

Bandook 会更改 Windows 注册表，确保始终在后台运行，然后向其命令与控制（C2）服务器发出进一步指令，IT之家附上 Bandook 攻击流程图如下：

这些行为大致可分为文件操作、注册表操作、下载、信息窃取、文件执行、调用 C2 中 DLL 函数、控制受害者的计算机、卸载恶意软件等。