Złodziej bandytów

Badacze cyberbezpieczeństwa odkryli niedawno zaawansowane złośliwe oprogramowanie do zbierania informacji o nazwie Bandit Stealer. To ukryte złośliwe oprogramowanie przyciągnęło uwagę ze względu na swoją zdolność atakowania różnych przeglądarek internetowych i portfeli kryptowalut.

Według raportu opublikowanego przez badaczy bezpieczeństwa, to groźne oprogramowanie, opracowane przy użyciu języka programowania Go, może rozszerzyć swój zasięg na inne platformy, zapewniając potencjalną kompatybilność między platformami.

Obecnie Bandit Stealer skupia się przede wszystkim na systemach Windows. Wykorzystuje legalne narzędzie wiersza polecenia znane jako runas.exe, które pozwala użytkownikom na uruchamianie programów z różnymi uprawnieniami na koncie innego użytkownika. Korzystając z tego narzędzia, złośliwe oprogramowanie ma na celu podniesienie swoich uprawnień i uzyskanie dostępu administracyjnego. W rezultacie umiejętnie omija środki bezpieczeństwa, umożliwiając gromadzenie ogromnych ilości danych bez wykrycia.

Bandit Stealer ustanawia wytrwałość i eksfiltruje poufne dane

Aby uruchomić szkodliwe narzędzie, cyberprzestępcy muszą przejść środki kontroli dostępu użytkowników firmy Microsoft. Oznacza to, że osoby atakujące muszą podać niezbędne dane uwierzytelniające podczas próby uruchomienia pliku binarnego złośliwego oprogramowania jako administrator. Według badaczy właśnie dlatego atakujący używają polecenia runas.exe, ponieważ umożliwia ono użytkownikom uruchamianie programów z podwyższonymi uprawnieniami, zapewniając bezpieczne środowisko dla krytycznych aplikacji lub zadań systemowych. To narzędzie jest szczególnie przydatne, gdy bieżące konto użytkownika nie ma wystarczających uprawnień do wykonywania określonych poleceń lub programów.

Ponadto Bandit Stealer zawiera różne kontrole w celu ustalenia, czy działa w środowisku piaskownicy lub środowisku wirtualnym. Zagrożenie kończy również listę procesów znajdujących się na czarnej liście, aby zamaskować swoją obecność w zaatakowanym systemie i uniknąć niepotrzebnego przyciągania uwagi.

Przed rozpoczęciem działań związanych z gromadzeniem danych, które obejmują zbieranie informacji osobistych i finansowych z przeglądarek internetowych i portfeli kryptowalut, Bandit Stealer ustala trwałość poprzez modyfikacje w rejestrze systemu Windows.

Jeśli chodzi o metodę dystrybucji Bandit Stealer, uważa się, że złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem e-maili phishingowych zawierających uszkodzony plik droppera. Plik ten otwiera pozornie nieszkodliwy załącznik programu Microsoft Word, który rozprasza uwagę, a jednocześnie po cichu uruchamia infekcję w tle.

Rynek wykradaczy informacji i zbieranych danych stale rośnie

Gromadzenie danych przez złodziei zapewnia niepożądanym operatorom różne korzyści, umożliwiając im wykorzystanie okazji, takich jak kradzież tożsamości, zyski finansowe, naruszenia danych, ataki polegające na upychaniu danych uwierzytelniających i przejmowanie kont. Ponadto zebrane informacje mogą zostać sprzedane innym oszustom, służąc jako podstawa do kolejnych ataków, które mogą obejmować kampanie ukierunkowane, ransomware lub próby wymuszenia.

Zmiany te podkreślają ciągłą ewolucję złośliwego oprogramowania do kradzieży w poważniejsze zagrożenie. Jednocześnie rynek Malware-as-a-Service (MaaS) sprawił, że narzędzia te są łatwo dostępne i obniżył bariery wejścia dla początkujących cyberprzestępców.

W rzeczywistości eksperci ds. cyberbezpieczeństwa zaobserwowali kwitnący rynek kradzieży informacji, a ilość skradzionych logów na podziemnych forach, takich jak rynek rosyjski, wykazała oszałamiający wzrost o ponad 600% w latach 2021-2023.