Бандит крадец

Изследователите на киберсигурността наскоро откриха усъвършенстван зловреден софтуер за събиране на информация, наречен Bandit Stealer. Този скрит злонамерен софтуер привлече вниманието поради способността си да се насочва към различни уеб браузъри и портфейли за криптовалута.

Според доклад, публикуван от изследователи по сигурността, този заплашителен софтуер, разработен с помощта на езика за програмиране Go, има потенциала да разшири обхвата си до други платформи, осигурявайки потенциална междуплатформена съвместимост.

В момента Bandit Stealer се фокусира основно върху Windows системи. Той използва легитимен инструмент за команден ред, известен като runas.exe, който позволява на потребителите да изпълняват програми с различни разрешения под акаунта на друг потребител. Използвайки този инструмент, зловредният софтуер има за цел да повиши своите привилегии и да получи административен достъп. Следователно, той умело заобикаля мерките за сигурност, което му позволява да събира огромни количества данни без откриване.

The Bandit Stealer установява устойчивост и ексфилтрира чувствителни данни

За да изпълнят вредния инструмент, киберпрестъпниците трябва да преминат през мерките на Microsoft за контрол на потребителския достъп. Това означава, че нападателите трябва да предоставят необходимите идентификационни данни, когато се опитват да стартират двоичния файл на зловреден софтуер като администратор. Според изследователите, това е причината нападателите да използват командата runas.exe, тъй като тя позволява на потребителите да стартират програми с повишени привилегии, осигурявайки сигурна среда за критични приложения или задачи на системно ниво. Тази помощна програма е особено полезна, когато текущият потребителски акаунт няма достатъчно привилегии за изпълнение на конкретни команди или програми.

В допълнение, Bandit Stealer включва различни проверки, за да установи дали работи в пясъчна среда или виртуална среда. Заплахата също прекратява списък с процеси в черния списък, за да прикрие присъствието си в компрометираната система и да избегне привличането на ненужно внимание.

Преди да започне своите дейности по събиране на данни, които включват събиране на лична и финансова информация от уеб браузъри и портфейли с криптовалута, Bandit Stealer установява устойчивост чрез модификации в системния регистър на Windows.

Що се отнася до метода на разпространение на Bandit Stealer, смята се, че злонамереният софтуер се разпространява чрез фишинг имейли, които съдържат повреден капкомерен файл. Този файл отваря привидно безобиден прикачен файл на Microsoft Word, действайки като разсейване, докато безшумно задейства инфекцията във фонов режим.

Пазарът за крадци на информация и събрани данни продължава да расте

Натрупването на данни от крадците предоставя на злонамерените оператори различни предимства, като им позволява да използват възможности като кражба на самоличност, финансови печалби, пробиви на данни, атаки с пълнене на идентификационни данни и поглъщане на акаунти. Освен това събраната информация може да бъде продадена на други мошеници, като служи като основа за последващи атаки, които могат да варират от целеви кампании до рансъмуер или опити за изнудване.

Тези разработки подчертават продължаващата еволюция на крадливия зловреден софтуер в по-сериозна заплаха. Едновременно с това пазарът на зловреден софтуер като услуга (MaaS) направи тези инструменти лесно достъпни и намали бариерите за навлизане на амбициозни кибер престъпници.

Всъщност експертите по киберсигурност са наблюдавали процъфтяващ пазар на крадци на информация, като обемът на откраднатите регистрационни файлове в подземни форуми, като руския пазар, демонстрира зашеметяващ скок от над 600% между 2021 г. и 2023 г.