Ληστής Κλέφτης

Ερευνητές κυβερνοασφάλειας ανακάλυψαν πρόσφατα ένα προηγμένο κακόβουλο λογισμικό συλλογής πληροφοριών που ονομάζεται Bandit Stealer. Αυτό το κρυφό κακόβουλο λογισμικό έχει συγκεντρώσει την προσοχή λόγω της ικανότητάς του να στοχεύει διάφορα προγράμματα περιήγησης Ιστού και πορτοφόλια κρυπτονομισμάτων.

Σύμφωνα με μια έκθεση που δημοσιεύτηκε από ερευνητές ασφαλείας, αυτό το απειλητικό λογισμικό, που αναπτύχθηκε χρησιμοποιώντας τη γλώσσα προγραμματισμού Go, έχει τη δυνατότητα να επεκτείνει την εμβέλειά του σε άλλες πλατφόρμες, διασφαλίζοντας πιθανή συμβατότητα μεταξύ πλατφορμών.

Επί του παρόντος, το Bandit Stealer εστιάζει κυρίως σε συστήματα Windows. Εκμεταλλεύεται ένα νόμιμο εργαλείο γραμμής εντολών γνωστό ως runas.exe, το οποίο επιτρέπει στους χρήστες να εκτελούν προγράμματα με διαφορετικά δικαιώματα στο λογαριασμό άλλου χρήστη. Με τη χρήση αυτού του εργαλείου, το κακόβουλο λογισμικό στοχεύει να αυξήσει τα προνόμιά του και να αποκτήσει πρόσβαση διαχειριστή. Κατά συνέπεια, παρακάμπτει επιδέξια τα μέτρα ασφαλείας, επιτρέποντάς του να συλλέγει τεράστιες ποσότητες δεδομένων χωρίς ανίχνευση.

Ο κλέφτης ληστής καθιερώνει την επιμονή και διεγείρει ευαίσθητα δεδομένα

Για να εκτελέσουν το βλαβερό εργαλείο, οι εγκληματίες του κυβερνοχώρου πρέπει να περάσουν τα μέτρα ελέγχου πρόσβασης χρηστών της Microsoft. Αυτό σημαίνει ότι οι εισβολείς πρέπει να παρέχουν τα απαραίτητα διαπιστευτήρια όταν επιχειρούν να εκτελέσουν το δυαδικό λογισμικό κακόβουλου λογισμικού ως διαχειριστής. Σύμφωνα με τους ερευνητές, αυτός είναι ο λόγος που οι εισβολείς χρησιμοποιούν την εντολή runas.exe, καθώς δίνει τη δυνατότητα στους χρήστες να εκτελούν προγράμματα με αυξημένα προνόμια, παρέχοντας ένα ασφαλές περιβάλλον για κρίσιμες εφαρμογές ή εργασίες σε επίπεδο συστήματος. Αυτό το βοηθητικό πρόγραμμα είναι ιδιαίτερα ωφέλιμο όταν ο τρέχων λογαριασμός χρήστη δεν διαθέτει επαρκή δικαιώματα για την εκτέλεση συγκεκριμένων εντολών ή προγραμμάτων.

Επιπλέον, το Bandit Stealer ενσωματώνει διάφορους ελέγχους για να διαπιστώσει εάν εκτελείται σε sandbox ή εικονικό περιβάλλον. Η απειλή τερματίζει επίσης μια λίστα διεργασιών που περιλαμβάνονται στη μαύρη λίστα για να συγκαλύψει την παρουσία της στο παραβιασμένο σύστημα και να αποφύγει την προσέλκυση περιττής προσοχής.

Πριν ξεκινήσει τις δραστηριότητες συλλογής δεδομένων, οι οποίες περιλαμβάνουν τη συλλογή προσωπικών και οικονομικών πληροφοριών από προγράμματα περιήγησης Ιστού και πορτοφόλια κρυπτονομισμάτων, το Bandit Stealer εδραιώνει την επιμονή μέσω τροποποιήσεων στο Μητρώο των Windows.

Όσον αφορά τη μέθοδο διανομής του Bandit Stealer, πιστεύεται ότι το κακόβουλο λογισμικό διαδίδεται μέσω ηλεκτρονικού "ψαρέματος" που περιέχουν ένα κατεστραμμένο αρχείο dropper. Αυτό το αρχείο ανοίγει ένα φαινομενικά ακίνδυνο συνημμένο του Microsoft Word, το οποίο αποσπά την προσοχή ενώ προκαλεί σιωπηλά τη μόλυνση στο παρασκήνιο.

Η Αγορά για Infostealers και Συλλεγμένα Δεδομένα συνεχίζει να αναπτύσσεται

Η συσσώρευση δεδομένων από κλέφτες παρέχει στους κακοπροαίρετους χειριστές διάφορα πλεονεκτήματα, επιτρέποντάς τους να εκμεταλλευτούν ευκαιρίες όπως κλοπή ταυτότητας, οικονομικά κέρδη, παραβιάσεις δεδομένων, επιθέσεις γεμίσματος διαπιστευτηρίων και εξαγορές λογαριασμών. Επιπλέον, οι πληροφορίες που συλλέγονται μπορούν να πωληθούν σε άλλους απατεώνες, χρησιμεύοντας ως βάση για επακόλουθες επιθέσεις που μπορεί να κυμαίνονται από στοχευμένες εκστρατείες έως απόπειρες λύτρων ή εκβιασμών.

Αυτές οι εξελίξεις υπογραμμίζουν τη συνεχιζόμενη εξέλιξη του κακόβουλου λογισμικού κλοπής σε μια πιο σοβαρή απειλή. Ταυτόχρονα, η αγορά Malware-as-a-Service (MaaS) έχει κάνει αυτά τα εργαλεία εύκολα προσβάσιμα και έχει μειώσει τα εμπόδια εισόδου για τους επίδοξους εγκληματίες του κυβερνοχώρου.

Στην πραγματικότητα, εμπειρογνώμονες στον κυβερνοχώρο έχουν παρατηρήσει μια ακμάζουσα αγορά πληροφορικής κλοπής, με τον όγκο των κλεμμένων κορμών σε υπόγεια φόρουμ, όπως η Ρωσική Αγορά, να παρουσιάζει μια εκπληκτική αύξηση άνω του 600% μεταξύ 2021 και 2023.