Banditalopó

A kiberbiztonsági kutatók nemrég fedeztek fel egy fejlett információgyűjtő kártevőt, a Bandit Stealert. Ez a lopakodó rosszindulatú program azért hívta fel magára a figyelmet, mert képes számos webböngészőt és kriptovaluta pénztárcát megcélozni.

A biztonsági kutatók által közzétett jelentés szerint ez a fenyegető szoftver, amelyet a Go programozási nyelv használatával fejlesztettek ki, képes kiterjeszteni más platformokra is, így biztosítva a platformok közötti kompatibilitást.

Jelenleg a Bandit Stealer elsősorban a Windows rendszerekre összpontosít. Kihasználja a runas.exe néven ismert legitim parancssori eszközt, amely lehetővé teszi a felhasználók számára, hogy programokat hajtsanak végre különböző engedélyekkel egy másik felhasználó fiókja alatt. Ennek az eszköznek a használatával a rosszindulatú program célja a jogosultságok növelése és adminisztrátori hozzáférés megszerzése. Következésképpen ügyesen megkerüli a biztonsági intézkedéseket, lehetővé téve, hogy észlelés nélkül gyűjtsön hatalmas mennyiségű adatot.

A Bandit Stealer állandóságot biztosít, és kiszűri az érzékeny adatokat

A bántó eszköz végrehajtásához a kiberbűnözőknek át kell menniük a Microsoft felhasználói hozzáférés-ellenőrzési intézkedésein. Ez azt jelenti, hogy a támadóknak meg kell adniuk a szükséges hitelesítési adatokat, amikor rendszergazdaként próbálják futtatni a rosszindulatú programokat. A kutatók szerint a támadók ezért használják a runas.exe parancsot, amely lehetővé teszi a felhasználók számára, hogy emelt szintű jogosultságokkal futtassák a programokat, biztonságos környezetet biztosítva a kritikus alkalmazásokhoz vagy rendszerszintű feladatokhoz. Ez a segédprogram különösen akkor hasznos, ha az aktuális felhasználói fiók nem rendelkezik elegendő jogosultsággal meghatározott parancsok vagy programok végrehajtásához.

Ezenkívül a Bandit Stealer különféle ellenőrzéseket tartalmaz annak megállapítására, hogy homokozóban vagy virtuális környezetben fut-e. A fenyegetés megszünteti a feketelistán szereplő folyamatok listáját is, hogy elfedje jelenlétét a feltört rendszeren, és elkerülje a felesleges figyelem felkeltését.

Mielőtt megkezdené adatgyűjtési tevékenységét, amely magában foglalja a személyes és pénzügyi információk webböngészőkből és kriptovaluta pénztárcákból való begyűjtését, a Bandit Stealer a Windows Registry módosításai révén biztosítja a tartósságot.

Ami a Bandit Stealer terjesztési módját illeti, úgy vélik, hogy a rosszindulatú program adathalász e-maileken keresztül terjed, amelyek sérült dropper fájlt tartalmaznak. Ez a fájl egy látszólag ártalmatlan Microsoft Word-mellékletet nyit meg, amely elvonja a figyelmet, miközben csendben kiváltja a fertőzést a háttérben.

Az infolopók és az összegyűjtött adatok piaca tovább növekszik

A lopók által felhalmozott adatok különféle előnyöket biztosítanak a rosszindulatú üzemeltetőknek, lehetővé téve számukra, hogy kihasználják az olyan lehetőségeket, mint a személyazonosság-lopás, a pénzügyi haszon, az adatszivárgás, a hitelesítő adatok kitöltésével kapcsolatos támadások és a fiókok átvétele. Ezenkívül az összegyűjtött információkat eladhatják más szélhámosoknak, amelyek alapot képezhetnek a későbbi támadásokhoz, amelyek a célzott kampányoktól a zsarolóprogramokig vagy zsarolási kísérletekig terjedhetnek.

Ezek a fejlemények rávilágítanak arra, hogy a lopó rosszindulatú program egyre súlyosabb fenyegetéssé válik. Ezzel egyidejűleg a Malware-as-a-Service (MaaS) piac könnyen elérhetővé tette ezeket az eszközöket, és csökkentette a belépési korlátokat a törekvő számítógépes bűnözők előtt.

Valójában a kiberbiztonsági szakértők egy virágzó infolopó-piacot figyeltek meg, ahol a földalatti fórumokon, például az orosz piacon ellopott rönkök mennyisége 2021 és 2023 között megdöbbentő, több mint 600%-os növekedést mutat.