בנדיט סטיילר

חוקרי אבטחת סייבר גילו לאחרונה תוכנה זדונית מתקדמת לאיסוף מידע בשם Bandit Stealer. תוכנה זדונית חמקנית זו זכתה לתשומת לב בשל יכולתה למקד למגוון דפדפני אינטרנט וארנקי מטבעות קריפטוגרפיים.

לפי דו"ח שפרסמו חוקרי אבטחה, לתוכנה המאיימת הזו, שפותחה באמצעות שפת התכנות Go, יש פוטנציאל להרחיב את טווח ההגעה שלה לפלטפורמות אחרות, ולהבטיח תאימות פוטנציאלית בין פלטפורמות.

נכון לעכשיו, Bandit Stealer מתמקד בעיקר במערכות Windows. הוא מנצל כלי שורת פקודה לגיטימי המכונה runas.exe, המאפשר למשתמשים להפעיל תוכניות עם הרשאות שונות תחת חשבון של משתמש אחר. על ידי שימוש בכלי זה, התוכנה הזדונית שואפת להעלות את ההרשאות שלה ולקבל גישה מנהלתית. כתוצאה מכך, הוא עוקף במיומנות את אמצעי האבטחה, ומאפשר לו לאסוף כמויות אדירות של נתונים ללא זיהוי.

גנב השודדים מבסס התמדה ומוציא נתונים רגישים

כדי להפעיל את הכלי הפוגע, פושעי סייבר חייבים לעבור את אמצעי בקרת הגישה למשתמשים של מיקרוסופט. משמעות הדבר היא שהתוקפים חייבים לספק את האישורים הדרושים בעת ניסיון להפעיל את תוכנת הזדונית הבינארית כמנהל מערכת. לדברי החוקרים, זו הסיבה שהתוקפים משתמשים בפקודה runas.exe, מכיוון שהיא מאפשרת למשתמשים להפעיל תוכניות עם הרשאות גבוהות, מה שמספק סביבה מאובטחת ליישומים קריטיים או למשימות ברמת המערכת. כלי זה מועיל במיוחד כאשר לחשבון המשתמש הנוכחי חסרות הרשאות מספיקות לביצוע פקודות או תוכניות ספציפיות.

בנוסף, Bandit Stealer משלב בדיקות שונות כדי לקבוע אם הוא פועל בתוך ארגז חול או סביבה וירטואלית. האיום גם מסיים רשימה של תהליכים ברשימה השחורה כדי להסוות את נוכחותו במערכת שנפגעה ולמנוע משיכת תשומת לב מיותרת.

לפני תחילת פעילויות איסוף הנתונים שלו, הכוללות קצירת מידע אישי ופיננסי מדפדפני אינטרנט וארנקי מטבעות קריפטוגרפיים, Bandit Stealer מבסס התמדה באמצעות שינויים ברישום Windows.

באשר לשיטת ההפצה של Bandit Stealer, מאמינים שהתוכנה הזדונית מופצת באמצעות מיילים פישינג המכילים קובץ טפטוף פגום. קובץ זה פותח קובץ מצורף לא מזיק לכאורה של Microsoft Word, הפועל כהסחת דעת תוך הפעלת הזיהום ברקע בשקט.

השוק לגניבות מידע ונתונים שנאספו ממשיך לגדול

צבירת נתונים על ידי גונבים מספקת למפעילים חסרי דעות יתרונות שונים, המאפשרים להם לנצל הזדמנויות כגון גניבת זהות, רווחים כספיים, הפרות מידע, התקפות של מילוי אישורים והשתלטות על חשבונות. בנוסף, המידע שנאסף יכול להימכר לנוכלים אחרים, לשמש בסיס להתקפות עוקבות שעשויות לנוע מקמפיינים ממוקדים ועד לתוכנות כופר או ניסיונות סחיטה.

התפתחויות אלו מדגישות את ההתפתחות המתמשכת של התוכנה הזדונית הגנבת לאיום חמור יותר. במקביל, שוק Malware-as-a-Service (MaaS) הפך את הכלים הללו לנגישים בקלות והוריד את חסמי הכניסה של פושעי סייבר שואפים.

למעשה, מומחי אבטחת סייבר הבחינו בשוק משגשג של גנבי מידע, כאשר נפח היומנים הגנובים בפורומים תת-קרקעיים, כמו השוק הרוסי, הפגין זינוק מדהים של למעלה מ-600% בין 2021 ל-2023.