Ladro di banditi

I ricercatori della sicurezza informatica hanno recentemente scoperto un malware avanzato per la raccolta di informazioni chiamato Bandit Stealer. Questo malware furtivo ha attirato l'attenzione grazie alla sua capacità di prendere di mira una varietà di browser Web e portafogli di criptovaluta.

Secondo un rapporto pubblicato dai ricercatori di sicurezza, questo software minaccioso, sviluppato utilizzando il linguaggio di programmazione Go, ha il potenziale per estendere la sua portata ad altre piattaforme, garantendo una potenziale compatibilità multipiattaforma.

Attualmente, Bandit Stealer si concentra principalmente sui sistemi Windows. Sfrutta uno strumento da riga di comando legittimo noto come runas.exe, che consente agli utenti di eseguire programmi con autorizzazioni diverse sotto l'account di un altro utente. Utilizzando questo strumento, il malware mira a elevare i propri privilegi e ottenere l'accesso amministrativo. Di conseguenza, elude abilmente le misure di sicurezza, consentendogli di raccogliere grandi quantità di dati senza essere rilevata.

The Bandit Stealer stabilisce la persistenza ed esfiltra i dati sensibili

Per eseguire lo strumento dannoso, i criminali informatici devono superare le misure di controllo dell'accesso degli utenti di Microsoft. Ciò significa che gli aggressori devono fornire le credenziali necessarie quando tentano di eseguire il file binario del malware come amministratore. Secondo i ricercatori, questo è il motivo per cui gli aggressori utilizzano il comando runas.exe, poiché consente agli utenti di eseguire programmi con privilegi elevati, fornendo un ambiente sicuro per applicazioni critiche o attività a livello di sistema. Questa utilità è particolarmente vantaggiosa quando l'account utente corrente non dispone di privilegi sufficienti per eseguire comandi o programmi specifici.

Inoltre, Bandit Stealer incorpora vari controlli per stabilire se è in esecuzione all'interno di una sandbox o di un ambiente virtuale. La minaccia termina anche un elenco di processi nella lista nera per mascherare la sua presenza sul sistema compromesso ed evitare di attirare un'attenzione non necessaria.

Prima di iniziare le sue attività di raccolta dati, che comportano la raccolta di informazioni personali e finanziarie da browser Web e portafogli di criptovaluta, Bandit Stealer stabilisce la persistenza attraverso modifiche nel registro di Windows.

Per quanto riguarda il metodo di distribuzione di Bandit Stealer, si ritiene che il malware si diffonda tramite e-mail di phishing che contengono un file dropper danneggiato. Questo file apre un allegato di Microsoft Word apparentemente innocuo, fungendo da distrazione mentre attiva silenziosamente l'infezione in background.

Il mercato degli infostealer e dei dati raccolti continua a crescere

L'accumulo di dati da parte di ladri offre agli operatori malintenzionati vari vantaggi, consentendo loro di sfruttare opportunità come furto di identità, guadagni finanziari, violazioni dei dati, attacchi di credential stuffing e appropriazione di account. Inoltre, le informazioni raccolte possono essere vendute ad altri criminali, fungendo da base per attacchi successivi che possono variare da campagne mirate a ransomware o tentativi di estorsione.

Questi sviluppi sottolineano la continua evoluzione del malware stealer in una minaccia più grave. Allo stesso tempo, il mercato Malware-as-a-Service (MaaS) ha reso questi strumenti facilmente accessibili e ha abbassato le barriere all'ingresso per gli aspiranti criminali informatici.

In effetti, gli esperti di sicurezza informatica hanno osservato un fiorente mercato di infostealer, con il volume di registri rubati su forum sotterranei, come il mercato russo, che mostra un'incredibile impennata di oltre il 600% tra il 2021 e il 2023.