산적 도둑

사이버 보안 연구원들은 최근 Bandit Stealer라는 첨단 정보 수집 악성코드를 발견했습니다. 이 은밀한 악성코드는 다양한 웹 브라우저와 암호화폐 지갑을 표적으로 삼는 능력으로 인해 주목을 받았습니다.

보안 연구원이 발표한 보고서에 따르면 Go 프로그래밍 언어를 사용하여 개발된 이 위협적인 소프트웨어는 다른 플랫폼으로 범위를 확장하여 플랫폼 간 호환성을 보장할 수 있는 잠재력이 있습니다.

현재 Bandit Stealer는 주로 Windows 시스템에 중점을 둡니다. 이는 사용자가 다른 사용자의 계정에서 다른 권한으로 프로그램을 실행할 수 있도록 허용하는 runas.exe라는 합법적인 명령줄 도구를 악용합니다. 이 도구를 활용하여 맬웨어는 권한을 높이고 관리 액세스 권한을 얻는 것을 목표로 합니다. 결과적으로 보안 조치를 능숙하게 우회하여 탐지되지 않고 방대한 양의 데이터를 수집할 수 있습니다.

Bandit Stealer는 지속성을 확립하고 민감한 데이터를 유출합니다.

유해한 도구를 실행하려면 사이버 범죄자가 Microsoft의 사용자 액세스 제어 조치를 통과해야 합니다. 이는 공격자가 관리자로서 맬웨어 바이너리를 실행하려고 시도할 때 필요한 자격 증명을 제공해야 함을 의미합니다. 연구원들에 따르면 공격자들이 runas.exe 명령을 사용하는 이유는 사용자가 높은 권한으로 프로그램을 실행하여 중요한 응용 프로그램이나 시스템 수준 작업을 위한 안전한 환경을 제공하기 때문입니다. 이 유틸리티는 현재 사용자 계정에 특정 명령이나 프로그램을 실행할 충분한 권한이 없을 때 특히 유용합니다.

또한 Bandit Stealer는 샌드박스 또는 가상 환경 내에서 실행 중인지 확인하기 위해 다양한 검사를 통합합니다. 이 위협 요소는 또한 블랙리스트에 있는 프로세스 목록을 종료하여 손상된 시스템에서 자신의 존재를 숨기고 불필요한 주의를 끌지 않도록 합니다.

Bandit Stealer는 웹 브라우저와 암호화폐 지갑에서 개인 및 금융 정보를 수집하는 데이터 수집 활동을 시작하기 전에 Windows 레지스트리를 수정하여 지속성을 설정합니다.

Bandit Stealer의 유포 방식은 드롭퍼 파일이 손상된 피싱 메일을 통해 유포되는 것으로 추정된다. 이 파일은 무해해 보이는 Microsoft Word 첨부 파일을 열어 백그라운드에서 조용히 감염을 유발하는 동시에 주의를 분산시키는 역할을 합니다.

Infostealer 및 수집된 데이터 시장은 계속해서 성장합니다

도둑에 의한 데이터 축적은 무능한 운영자에게 다양한 이점을 제공하여 신원 도용, 금전적 이득, 데이터 유출, 자격 증명 스터핑 공격 및 계정 탈취와 같은 기회를 악용할 수 있도록 합니다. 또한 수집된 정보는 다른 사기꾼에게 판매되어 표적 캠페인에서 랜섬웨어 또는 강탈 시도에 이르는 후속 공격의 기반이 될 수 있습니다.

이러한 발전은 스틸러 악성코드가 더욱 심각한 위협으로 진화하고 있음을 강조합니다. 동시에 MaaS(Malware-as-a-Service) 시장은 이러한 도구에 쉽게 액세스할 수 있게 했으며 사이버 범죄자를 꿈꾸는 사람들의 진입 장벽을 낮췄습니다.

실제로 사이버 보안 전문가들은 러시아 시장과 같은 지하 포럼에서 도난당한 로그의 양이 2021년에서 2023년 사이에 600% 이상 급증하는 인포스틸러 시장이 번창하는 것을 관찰했습니다.