Bandook
¿Qué es?
Bandook, también conocido como Bandok, es un malware de tipo troyano de acceso remoto (RAT) que se enfoca en infectar dispositivos Windows para controlarlos remotamente y realizar actividades maliciosas. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.
¿Qué hace?
Este malware tiene capacidad para realizar las siguientes acciones:
- Realiza capturas de pantalla del sistema infectado.
- Registra pulsaciones de teclado (keylogging) para capturar credenciales y demás información sensible.
- Descarga y ejecuta archivos desde servidores controlados por los atacantes.
- Sube y descarga archivos para facilitar la exfiltración de datos.
- Otorga el control remoto completo a los atacantes mediante la ejecución de comandos en el sistema afectado.
- Manipula los servicios y procesos del sistema operativo infectado, lo que permite deshabilitar funciones críticas como antivirus o cortafuegos.
- Modifica las claves de registro y utiliza técnicas como inyección de código para garantizar la persistencia mediante su ejecución cada vez que el sistema se reinicia.
- Escanea la red local en busca de dispositivos y recursos compartidos para robar datos o extender su alcance.
- Extrae y roba certificados digitales de los sistemas infectados para utilizados en la firma de otras actividades maliciosas.
- Puede aprovechar vulnerabilidades en el sistema operativo o en aplicaciones instaladas para obtener privilegios elevados o instalar módulos adicionales.
- Puede cifrar archivos en el sistema afectado, similar a un ransomware, aunque esta función no siempre se activa.
- Realiza comunicaciones con servidores controlados por los atacantes para recibir instrucciones, descargar actualizaciones maliciosas y enviar datos robados.
- Realiza conexiones con sitios no legítimos y descarga otros ficheros y programas maliciosos.
Sistemas afectados
Los principales dispositivos afectados son:
- Dispositivos con sistemas Microsoft Windows.
¿Cómo me infecta?
Este malware infecta a los dispositivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos, a través de enlaces de descarga de software comprometido y a través de sitios web comprometidos que lo descargan y ejecutan automáticamente sin intervención del usuario.
Cómo desinfectar mi equipo
Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.