Bandit Stealer

Cybersikkerhetsforskere har nylig oppdaget en avansert informasjonsinnhenter malware kalt Bandit Stealer. Denne skjulte skadevare har fått oppmerksomhet på grunn av sin evne til å målrette mot en rekke nettlesere og kryptovaluta-lommebøker.

I følge en rapport publisert av sikkerhetsforskere har denne truende programvaren, utviklet ved bruk av programmeringsspråket Go, potensial til å utvide rekkevidden til andre plattformer, og sikre potensiell kompatibilitet på tvers av plattformer.

For øyeblikket fokuserer Bandit Stealer først og fremst på Windows-systemer. Den utnytter et legitimt kommandolinjeverktøy kjent som runas.exe, som tillater brukere å kjøre programmer med forskjellige tillatelser under en annen brukers konto. Ved å bruke dette verktøyet tar skadelig programvare som mål å heve privilegiene sine og få administrativ tilgang. Følgelig omgår den på dyktig måte sikkerhetstiltak, slik at den kan samle inn enorme mengder data uten oppdagelse.

The Bandit Stealer etablerer persistens og eksfiltrerer sensitive data

For å utføre det sårende verktøyet, må nettkriminelle passere Microsofts kontrolltiltak for brukertilgang. Dette betyr at angriperne må oppgi den nødvendige legitimasjonen når de forsøker å kjøre binæren som administrator. Ifølge forskerne er det derfor angriperne bruker runas.exe-kommandoen, siden den lar brukere kjøre programmer med forhøyede rettigheter, og gir et sikkert miljø for kritiske applikasjoner eller oppgaver på systemnivå. Dette verktøyet er spesielt nyttig når den nåværende brukerkontoen mangler tilstrekkelige privilegier til å utføre spesifikke kommandoer eller programmer.

I tillegg inneholder Bandit Stealer ulike kontroller for å fastslå om den kjører i en sandkasse eller et virtuelt miljø. Trusselen avslutter også en liste over svartelistede prosesser for å maskere dens tilstedeværelse på det kompromitterte systemet og unngå å tiltrekke seg unødvendig oppmerksomhet.

Før de starter sine datainnsamlingsaktiviteter, som involverer innhenting av personlig og økonomisk informasjon fra nettlesere og kryptovaluta-lommebøker, etablerer Bandit Stealer utholdenhet gjennom modifikasjoner i Windows-registeret.

Når det gjelder distribusjonsmetoden til Bandit Stealer, antas det at skadelig programvare spres via phishing-e-poster som inneholder en ødelagt dropper-fil. Denne filen åpner et tilsynelatende ufarlig Microsoft Word-vedlegg, som fungerer som en distraksjon mens den i det stille utløser infeksjonen i bakgrunnen.

Markedet for infostelere og innsamlede data fortsetter å vokse

Akkumulering av data fra stjelere gir dårlige operatører ulike fordeler, som gjør dem i stand til å utnytte muligheter som identitetstyveri, økonomiske gevinster, datainnbrudd, legitimasjonsangrep og kontoovertakelser. I tillegg kan den innsamlede informasjonen selges til andre skurker, og tjene som grunnlag for påfølgende angrep som kan variere fra målrettede kampanjer til løsepengevare eller utpressingsforsøk.

Denne utviklingen understreker den pågående utviklingen av tyverens skadevare til en mer alvorlig trussel. Samtidig har Malware-as-a-Service (MaaS)-markedet gjort disse verktøyene lett tilgjengelige og har senket adgangsbarrierene for aspirerende cyberkriminelle.

Faktisk har cybersikkerhetseksperter observert et blomstrende infotyvermarked, med volumet av stjålne logger på underjordiske fora, som det russiske markedet, som viser en svimlende økning på over 600 % mellom 2021 og 2023.