Bandit-tyver

Cybersikkerhedsforskere har for nylig opdaget en avanceret informationsindsamler malware kaldet Bandit Stealer. Denne snigende malware har fået opmærksomhed på grund af dens evne til at målrette mod en række forskellige webbrowsere og cryptocurrency-punge.

Ifølge en rapport udgivet af sikkerhedsforskere har denne truende software, udviklet ved hjælp af programmeringssproget Go, potentialet til at udvide sin rækkevidde til andre platforme, hvilket sikrer potentiel kompatibilitet på tværs af platforme.

I øjeblikket fokuserer Bandit Stealer primært på Windows-systemer. Det udnytter et legitimt kommandolinjeværktøj kendt som runas.exe, som tillader brugere at udføre programmer med forskellige tilladelser under en anden brugers konto. Ved at bruge dette værktøj sigter malwaren mod at hæve sine privilegier og få administrativ adgang. Som følge heraf omgår den dygtigt sikkerhedsforanstaltninger, hvilket gør den i stand til at indsamle enorme mængder data uden registrering.

The Bandit Stealer etablerer persistens og eksfiltrerer følsomme data

For at udføre det sårende værktøj skal cyberkriminelle bestå Microsofts kontrolforanstaltninger for brugeradgang. Dette betyder, at angriberne skal give de nødvendige legitimationsoplysninger, når de forsøger at køre malware binær som administrator. Ifølge forskerne er det derfor, angriberne bruger kommandoen runas.exe, da den gør det muligt for brugere at køre programmer med forhøjede privilegier, hvilket giver et sikkert miljø til kritiske applikationer eller opgaver på systemniveau. Dette værktøj er særligt fordelagtigt, når den aktuelle brugerkonto mangler tilstrækkelige privilegier til at udføre specifikke kommandoer eller programmer.

Derudover inkorporerer Bandit Stealer forskellige kontroller for at fastslå, om den kører i en sandkasse eller et virtuelt miljø. Truslen afslutter også en liste over sortlistede processer for at maskere dens tilstedeværelse på det kompromitterede system og undgå at tiltrække unødvendig opmærksomhed.

Inden de påbegynder sine dataindsamlingsaktiviteter, som involverer indsamling af personlige og økonomiske oplysninger fra webbrowsere og cryptocurrency-punge, etablerer Bandit Stealer vedholdenhed gennem ændringer i Windows-registreringsdatabasen.

Hvad angår distributionsmetoden for Bandit Stealer, menes det, at malwaren spredes via phishing-e-mails, der indeholder en beskadiget dropper-fil. Denne fil åbner en tilsyneladende harmløs Microsoft Word-vedhæftet fil, der fungerer som en distraktion, mens den lydløst udløser infektionen i baggrunden.

Markedet for infostealere og indsamlede data fortsætter med at vokse

Ophobningen af data fra stjæle giver dårligt sindede operatører forskellige fordele, hvilket gør dem i stand til at udnytte muligheder såsom identitetstyveri, økonomiske gevinster, databrud, angreb på legitimationsoplysninger og kontoovertagelser. Derudover kan den indsamlede information sælges til andre skurke, hvilket tjener som grundlag for efterfølgende angreb, der kan variere fra målrettede kampagner til ransomware eller afpresningsforsøg.

Disse udviklinger understreger den igangværende udvikling af tyverens malware til en mere alvorlig trussel. Samtidig har Malware-as-a-Service (MaaS)-markedet gjort disse værktøjer let tilgængelige og har sænket adgangsbarriererne for aspirerende cyberkriminelle.

Faktisk har cybersikkerhedseksperter observeret et blomstrende infostealermarked, hvor mængden af stjålne logfiler på underjordiske fora, såsom det russiske marked, udviser en svimlende stigning på over 600 % mellem 2021 og 2023.