Bandit Stealer

Kyberturvallisuustutkijat ovat äskettäin löytäneet edistyneen tiedonkeruun haittaohjelman nimeltä Bandit Stealer. Tämä salakavala haittaohjelma on kerännyt huomiota, koska se pystyy kohdistamaan useisiin verkkoselaimiin ja kryptovaluuttalompakoihin.

Tietoturvatutkijoiden julkaiseman raportin mukaan tällä Go-ohjelmointikielellä kehitetyllä uhkaavalla ohjelmistolla on potentiaalia laajentaa kattavuuttaan muille alustoille, mikä varmistaa mahdollisen alustojen välisen yhteensopivuuden.

Tällä hetkellä Bandit Stealer keskittyy ensisijaisesti Windows-järjestelmiin. Se hyödyntää laillista komentorivityökalua, joka tunnetaan nimellä runas.exe, jonka avulla käyttäjät voivat suorittaa ohjelmia erilaisilla käyttöoikeuksilla toisen käyttäjän tilillä. Käyttämällä tätä työkalua haittaohjelma pyrkii nostamaan oikeuksiaan ja saamaan järjestelmänvalvojan käyttöoikeudet. Näin ollen se kiertää taitavasti turvatoimenpiteet, jolloin se voi kerätä valtavia määriä tietoa ilman havaitsemista.

Bandit Stealer varmistaa pysyvyyden ja suodattaa arkaluonteiset tiedot

Haitallisen työkalun toteuttamiseksi verkkorikollisten on läpäistävä Microsoftin käyttäjien pääsynvalvontatoimenpiteet. Tämä tarkoittaa, että hyökkääjien on annettava tarvittavat tunnistetiedot yrittäessään suorittaa haittaohjelmabinaaria järjestelmänvalvojana. Tutkijoiden mukaan hyökkääjät käyttävät tästä syystä runas.exe-komentoa, koska sen avulla käyttäjät voivat ajaa ohjelmia korotetuilla käyttöoikeuksilla, mikä tarjoaa turvallisen ympäristön kriittisille sovelluksille tai järjestelmätason tehtäville. Tämä apuohjelma on erityisen hyödyllinen, kun nykyisellä käyttäjätilillä ei ole riittäviä oikeuksia tiettyjen komentojen tai ohjelmien suorittamiseen.

Lisäksi Bandit Stealer sisältää erilaisia tarkistuksia sen selvittämiseksi, toimiiko se hiekkalaatikossa vai virtuaaliympäristössä. Uhka lopettaa myös luettelon mustalla listalla olevista prosesseista peittääkseen läsnäolonsa vaarantuneessa järjestelmässä ja välttääkseen tarpeettoman huomion herättämisen.

Ennen kuin Bandit Stealer aloittaa tiedonkeruun, johon kuuluu henkilökohtaisten ja taloudellisten tietojen kerääminen verkkoselaimista ja kryptovaluuttalompakoista, se varmistaa pysyvyyden Windows-rekisteriin tehtyjen muutosten avulla.

Mitä tulee Bandit Stealerin jakelutapaan, haittaohjelman uskotaan leviävän tietojenkalasteluviestien kautta, jotka sisältävät vioittun dropper-tiedoston. Tämä tiedosto avaa näennäisen vaarattoman Microsoft Word -liitteen, joka toimii häiriötekijänä ja laukaisee äänettömästi infektion taustalla.

Tietovarastajien ja kerätyn datan markkinat jatkavat kasvuaan

Varastajien keräämä data tarjoaa huonosti ajatteleville operaattoreille erilaisia etuja, jotka antavat heille mahdollisuuden hyödyntää mahdollisuuksia, kuten identiteettivarkauksia, taloudellisia voittoja, tietomurtoja, tunnistetietojen täyttämiseen liittyviä hyökkäyksiä ja tilien kaappauksia. Lisäksi kerätyt tiedot voidaan myydä muille roistoille, mikä toimii perustana myöhemmille hyökkäyksille, jotka voivat vaihdella kohdistetuista kampanjoista kiristysohjelmiin tai kiristysyrityksiin.

Nämä kehityssuunnat korostavat varastajien haittaohjelmien jatkuvaa kehittymistä vakavammaksi uhkaksi. Samanaikaisesti Malware-as-a-Service (MaaS) -markkinat ovat tehneet näistä työkaluista helposti saatavilla ja alentaneet kyberrikollisten pääsyn esteitä.

Itse asiassa kyberturvallisuusasiantuntijat ovat havainneet kukoistavan tietovarastajien markkinan, ja varastettujen hirsien määrä maanalaisilla foorumeilla, kuten Venäjän markkinoilla, on kasvanut huikeasti, yli 600 % vuosina 2021–2023.