新發現的Bandidos惡意軟件變身Chrome插件瞄準南美洲商業網絡

根據對最新攻擊的連鎖分析，潛在受害者的個人電腦可以通過打開包含PDF附件的惡意電子郵件而受到感染。該郵件提供了下載托管在pCloud、Spideroak或Google Cloud上的檔案包的網址，以及解壓所需的密碼。解開下載的文件會暴露出一個惡意軟件載荷，并將其注入正在運行的Internet Explorer會話。

在ESET檢查的最新形式的Bandook中總共檢測到132個命令，比Check Point能識別的多12個。這表明，該感染背后的網絡犯罪組織正在不斷發展其惡意工具，以使其具有更多的能力和影響力。

ESET的網絡安全研究員Fernando Tavella解釋說，該惡意軟件的巧妙之處在于它利用了瀏覽器擴展和憑證，這個被稱為ChromeInject的功能是其能夠快速傳播的主要原因。當與攻擊者的命令和控制服務器建立通信時，有效載荷會下載一個DLL文件，該文件可以導出并創建一個惡意的Chrome擴展，該惡意擴展試圖檢索受害者提交給URL的任何憑證，然后這些憑證被存儲在Chrome的本地存儲中。

該惡意軟件的功能極其豐富，其載荷能夠進行文件修改，捕捉屏幕截圖，控制受害者電腦上的鼠標指針，列出目錄內容，終止正在運行的進程，安裝惡意DLL文件，從受感染的電腦上卸載自己，從特定的網絡地址下載惡意文件，甚至將收集的信息發送到遠程服務器。