Bandios

¿Qué es?

Bandios, también conocido como Colony y GrayBird, es un malware de tipo troyano con características de rootkit y de stealer, que se enfoca en infectar dispositivos Windows para permitir el robo de información y el acceso por control remoto. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

Descarga e instala un conjunto (una especie de “colonia”) de componentes maliciosos con capacidades de rootkit y keylogger, entre otros.
Registra pulsaciones de teclas (keylogging) para obtener información confidencial.
Modifica la configuración de red y del sistema, como claves de Registro, para redirigir tráfico, evadir proxies configurados, ocultar rastros y generar persistencia.
Se comunica con servidores de mando y control (C2) a través de conexiones HTTP y el envío de peticiones POST para exfiltrar la información recogida y recibir instrucciones adicionales.
Permite evasión y anti-análisis avanzados mediante técnicas de TLS callback para dificultar los análisis estático y dinámico y mediante certificados digitales revocados para intentar aparentar legitimidad falsa.
Permite eludir la detección y mantener el control y su persistencia.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de campañas de phishing con archivos adjuntos maliciosos, a través de ejecutables maliciosos disfrazados de instaladores legítimos, a través de la explotación de vulnerabilidades en Microsoft Office (como CVE-2017-11882) y a través de sitios web comprometidos o controlados por atacantes.