Securityaffairs網站消息，Fortinet的研究人員發現了一種新的名為Bandook的遠程訪問變種木馬（RAT），近日，威脅攻擊者利用該木馬對Windows用戶發起了網絡釣魚攻擊。

該木馬最早可追溯到2007年，至今一直在不斷發展，不同威脅行為者已經利用該木馬進行了多次攻擊活動。

最近一次曝光，Bandook變種木馬通過附件為PDF文件的電子郵件進行傳播。該PDF文件包含一個用于下載受密碼保護的.7z文件的縮短URL。當從PDF文件中提取惡意軟件后，注入器會在資源表中解密載荷并將有效載荷注入到msinfo32.exe中，而有效載荷的行為是由注入前創建的注冊表鍵值決定的。

Fortinet發布的分析報告顯示，“一旦注入成功，載荷就會初始化注冊表鍵名、標志、API等的字符串。在此之后，載荷使用被注入的msinfo32.exe的進程標識符（PID）來查找注冊表鍵，然后解碼并解析鍵值，以執行控制碼指定的任務。”

Bandook木馬的有效載荷支持139種動作，其中大部分在之前的變種中已經使用過了，最近的變種又增加了用于C2通信的附加命令，這意味著Bandook木馬還在持續改進。

Bandook的常見行為包括文件操作、注冊表操作、下載、信息竊取、文件執行、從C2調用dll中的函數、控制受害者的計算機、終止進程以及卸載惡意軟件等。

報告指出，這個惡意軟件包含大量用于C2通信的命令，但其有效載荷執行的任務數量少于命令的數量。這是因為多個命令被用來執行單一動作時，有些命令用于調用其他模塊中的函數，還有些命令僅用于對服務器進行響應。

報告表示，Bandook在這次攻擊中沒有觀察到整個系統，FortiGuard將繼續監控惡意軟件的變種，并提供相應的防護措施。