Bandieten steler

Onderzoekers op het gebied van cyberbeveiliging hebben onlangs een geavanceerde malware voor het verzamelen van informatie ontdekt, de Bandit Stealer. Deze onopvallende malware heeft de aandacht getrokken vanwege zijn vermogen om verschillende webbrowsers en cryptocurrency-portemonnees aan te vallen.

Volgens een rapport dat is gepubliceerd door beveiligingsonderzoekers, heeft deze bedreigende software, ontwikkeld met behulp van de Go-programmeertaal, het potentieel om zijn bereik uit te breiden naar andere platforms, waardoor potentiële platformonafhankelijke compatibiliteit wordt gegarandeerd.

Momenteel richt de Bandit Stealer zich vooral op Windows-systemen. Het maakt gebruik van een legitiem opdrachtregelprogramma dat bekend staat als runas.exe, waarmee gebruikers programma's met verschillende machtigingen kunnen uitvoeren onder het account van een andere gebruiker. Door deze tool te gebruiken, probeert de malware zijn privileges te verhogen en beheerderstoegang te krijgen. Bijgevolg omzeilt het vakkundig beveiligingsmaatregelen, waardoor het enorme hoeveelheden gegevens kan verzamelen zonder detectie.

The Bandit Stealer zorgt voor persistentie en exfiltreert gevoelige gegevens

Om de schadelijke tool uit te voeren, moeten cybercriminelen de controlemaatregelen van Microsoft voor gebruikerstoegang doorstaan. Dit betekent dat de aanvallers de benodigde inloggegevens moeten verstrekken wanneer ze proberen de malware-binary als beheerder uit te voeren. Volgens de onderzoekers gebruiken de aanvallers daarom de opdracht runas.exe, omdat het gebruikers in staat stelt programma's met verhoogde rechten uit te voeren, wat een veilige omgeving biedt voor kritieke applicaties of taken op systeemniveau. Dit hulpprogramma is met name handig wanneer de huidige gebruikersaccount onvoldoende rechten heeft om specifieke opdrachten of programma's uit te voeren.

Bovendien bevat de Bandit Stealer verschillende controles om vast te stellen of deze in een sandbox of virtuele omgeving draait. De dreiging beëindigt ook een lijst met processen op de zwarte lijst om zijn aanwezigheid op het gecompromitteerde systeem te maskeren en onnodige aandacht te trekken.

Voordat de Bandit Stealer begint met het verzamelen van gegevens, waarbij persoonlijke en financiële informatie uit webbrowsers en cryptocurrency-portemonnees wordt verzameld, zorgt Bandit Stealer voor persistentie door middel van wijzigingen in het Windows-register.

Wat de distributiemethode van de Bandit Stealer betreft, wordt aangenomen dat de malware wordt verspreid via phishing-e-mails die een beschadigd dropper-bestand bevatten. Dit bestand opent een ogenschijnlijk onschadelijke Microsoft Word-bijlage, die als afleiding fungeert terwijl de infectie in stilte op de achtergrond wordt geactiveerd.

De markt voor infostealers en verzamelde gegevens blijft groeien

De accumulatie van gegevens door dieven biedt kwaadwillende operators verschillende voordelen, waardoor ze kansen kunnen benutten zoals identiteitsdiefstal, financieel gewin, datalekken, credential stuffing-aanvallen en accountovernames. Bovendien kan de verzamelde informatie worden verkocht aan andere oplichters, wat als basis dient voor volgende aanvallen, variërend van gerichte campagnes tot ransomware of afpersingspogingen.

Deze ontwikkelingen onderstrepen de voortdurende evolutie van de stealer-malware naar een ernstiger bedreiging. Tegelijkertijd heeft de Malware-as-a-Service (MaaS)-markt deze tools gemakkelijk toegankelijk gemaakt en de toegangsdrempels voor aspirant-cybercriminelen verlaagd.

Cyberbeveiligingsexperts hebben zelfs een bloeiende infostealer-markt waargenomen, waarbij het volume van gestolen logboeken op ondergrondse fora, zoals de Russische markt, tussen 2021 en 2023 een duizelingwekkende stijging van meer dan 600% vertoonde.