专家发现针对拉丁美洲企业网络的恶意软件攻击

网络安全研究人员周四揭晓了一场新的、正在进行的间谍活动，目标是西班牙语国家的企业网络，特别是委内瑞拉，以监视受害者

由于使用了升级版的Bandook恶意软件，被ESET称为“Bandidos”，威胁参与者的主要目标是南美国家的企业网络，涵盖制造业、建筑业、医疗保健、软件服务和零售业

在Bandook和DC++中，有一个被销售为商业远程访问木马（RAT）的历史，它一直追溯到2005。自那以后，威胁领域出现了许多变种，并在2015年和2017年的不同监视活动中使用，据称是由一个名为“黑暗卡拉卡尔”的网络雇佣军组织代表哈萨克斯坦和黎巴嫩的政府利益使用的

随着Bandook特洛伊木马的不断死灰复燃，Check Point去年披露了三个新样本—；其中一个支持120个命令—；这些武器被同一个对手用来打击智利、塞浦路斯、德国、印度尼西亚、意大利、新加坡、瑞士、土耳其和美国的政府、金融、能源、食品工业、医疗保健、教育、IT和法律机构

最新的攻击链始于潜在的受害者收到带有PDF附件的恶意电子邮件，该附件包含一个缩短的URL，用于下载托管在谷歌云、SpiderOak或pCloud上的压缩档案，以及提取该档案的密码。提取档案会发现一个恶意软件滴管，它会解码Bandook并将其注入Internet Explorer进程

有趣的是，ESET分析的最新版本Bandook包含132个命令，高于Check Point报告的120个命令，这意味着恶意软件背后的犯罪集团正在改进其恶意工具的功能和打击力

“ChromeInject功能特别有趣，”ESET研究员费尔南多·塔维拉说。“当与攻击者的命令和控制服务器建立通信时，有效负载将下载一个DLL文件，该文件具有创建恶意Chrome扩展的导出方法。恶意扩展尝试检索受害者提交给URL的任何凭据。这些凭据存储在Chrome的本地存储中。”

负载能够处理的一些主要命令包括列出目录内容、操作文件、截屏、控制受害者机器上的光标、安装恶意DLL、终止正在运行的进程、从特定URL下载文件、，将操作结果过滤到远程服务器，甚至从受感染的机器上卸载自身

如果有什么区别的话，这一发展是另一个迹象，表明对手仍然可以利用旧的犯罪软件解决方案来促进攻击

“[Bandook]参与不同的间谍活动[…]研究人员认为：“这向我们表明，它仍然是网络罪犯的相关工具。”此外，如果我们考虑对恶意软件多年来作出的修改，它表明我们的利益，网络罪犯继续使用恶意软件恶意软件，使其更复杂和更难以检测。"