Bandit Stealer
Els investigadors de ciberseguretat han descobert recentment un programari maliciós avançat per recopilar informació anomenat Bandit Stealer. Aquest programari maliciós sigilós ha cridat l'atenció a causa de la seva capacitat per orientar-se a diversos navegadors web i carteres de criptomoneda.
Segons un informe publicat per investigadors de seguretat, aquest programari amenaçador, desenvolupat amb el llenguatge de programació Go, té el potencial d'estendre el seu abast a altres plataformes, assegurant una possible compatibilitat entre plataformes.
Actualment, Bandit Stealer se centra principalment en sistemes Windows. Explota una eina de línia d'ordres legítima coneguda com runas.exe, que permet als usuaris executar programes amb diferents permisos amb el compte d'un altre usuari. Mitjançant aquesta eina, el programari maliciós pretén elevar els seus privilegis i obtenir accés administratiu. En conseqüència, eludeix hàbilment les mesures de seguretat, cosa que li permet recollir grans quantitats de dades sense ser detectats.
El bandit Stealer estableix la persistència i s'exfiltra dades sensibles
Per executar l'eina perjudicial, els ciberdelinqüents han de passar les mesures de control d'accés dels usuaris de Microsoft. Això vol dir que els atacants han de proporcionar les credencials necessàries quan intenten executar el binari de programari maliciós com a administrador. Segons els investigadors, és per això que els atacants utilitzen l'ordre runas.exe, ja que permet als usuaris executar programes amb privilegis elevats, proporcionant un entorn segur per a aplicacions crítiques o tasques a nivell de sistema. Aquesta utilitat és especialment beneficiosa quan el compte d'usuari actual no té els privilegis suficients per executar ordres o programes específics.
A més, el Bandit Stealer incorpora diverses comprovacions per establir si s'està executant dins d'un sandbox o entorn virtual. L'amenaça també finalitza una llista de processos a la llista negra per emmascarar la seva presència al sistema compromès i evitar atraure una atenció innecessària.
Abans d'iniciar les seves activitats de recollida de dades, que impliquen la recollida d'informació personal i financera dels navegadors web i carteres de criptomoneda, Bandit Stealer estableix la persistència mitjançant modificacions al Registre de Windows.
Pel que fa al mètode de distribució del Bandit Stealer, es creu que el programari maliciós es propaga mitjançant correus electrònics de pesca que contenen un fitxer de comptagotes danyat. Aquest fitxer obre un fitxer adjunt de Microsoft Word aparentment inofensiu, que actua com una distracció mentre desencadena silenciosament la infecció en segon pla.
El mercat de robatoris d'informació i dades recollides continua creixent
L'acumulació de dades per part dels lladres ofereix als operadors malintencionats diversos avantatges, que els permeten aprofitar oportunitats com ara robatori d'identitat, guanys financers, incompliments de dades, atacs d'emplenament de credencials i adquisicions de comptes. A més, la informació recollida es pot vendre a altres delinqüents, servint de base per a atacs posteriors que poden anar des de campanyes dirigides fins a ransomware o intents d'extorsió.
Aquests desenvolupaments subratllen l'evolució contínua del programari maliciós robador cap a una amenaça més greu. Simultàniament, el mercat de programari maliciós com a servei (MaaS) ha fet que aquestes eines siguin fàcilment accessibles i ha reduït les barreres d'entrada dels aspirants a ciberdelinqüents.
De fet, els experts en ciberseguretat han observat un pròsper mercat de robatoris d'informació, amb el volum de registres robats en fòrums subterranis, com el mercat rus, que va mostrar un augment impressionant de més del 600% entre el 2021 i el 2023.
