Bandit Stealer

Cercetătorii în domeniul securității cibernetice au descoperit recent un malware avansat de colectare de informații numit Bandit Stealer. Acest malware ascuns a atras atenția datorită capacității sale de a viza o varietate de browsere web și portofele criptomonede.

Potrivit unui raport publicat de cercetătorii în domeniul securității, acest software amenințător, dezvoltat folosind limbajul de programare Go, are potențialul de a-și extinde acoperirea și la alte platforme, asigurând o potențială compatibilitate între platforme.

În prezent, Bandit Stealer se concentrează în primul rând pe sistemele Windows. Acesta exploatează un instrument legitim de linie de comandă cunoscut sub numele de runas.exe, care permite utilizatorilor să execute programe cu permisiuni diferite sub contul altui utilizator. Prin utilizarea acestui instrument, malware-ul urmărește să-și ridice privilegiile și să obțină acces administrativ. În consecință, el ocolește cu pricepere măsurile de securitate, permițându-i să colecteze cantități mari de date fără a fi detectat.

Bandit Stealer stabilește persistență și exfiltrează datele sensibile

Pentru a executa instrumentul dăunător, infractorii cibernetici trebuie să treacă măsurile Microsoft de control al accesului utilizatorilor. Aceasta înseamnă că atacatorii trebuie să furnizeze acreditările necesare atunci când încearcă să ruleze binarul malware ca administrator. Potrivit cercetătorilor, de aceea atacatorii folosesc comanda runas.exe, deoarece le permite utilizatorilor să ruleze programe cu privilegii ridicate, oferind un mediu securizat pentru aplicații critice sau sarcini la nivel de sistem. Acest utilitar este deosebit de benefic atunci când contul de utilizator actual nu are suficiente privilegii pentru a executa anumite comenzi sau programe.

În plus, Bandit Stealer încorporează diverse verificări pentru a stabili dacă rulează într-un sandbox sau într-un mediu virtual. Amenințarea termină, de asemenea, o listă de procese aflate pe lista neagră pentru a-și masca prezența pe sistemul compromis și pentru a evita atragerea unei atenții inutile.

Înainte de a-și iniția activitățile de colectare a datelor, care implică colectarea de informații personale și financiare din browsere web și portofele de criptomonede, Bandit Stealer stabilește persistența prin modificări în Registrul Windows.

În ceea ce privește metoda de distribuire a Bandit Stealer, se crede că malware-ul este răspândit prin e-mailuri de phishing care conțin un fișier dropper corupt. Acest fișier deschide un atașament Microsoft Word aparent inofensiv, acționând ca o distragere a atenției în timp ce declanșează în tăcere infecția în fundal.

Piața pentru furatorii de informații și datele colectate continuă să crească

Acumularea de date de către hoți le oferă operatorilor răi la minte diverse avantaje, permițându-le să exploateze oportunități precum furtul de identitate, câștigurile financiare, încălcările de date, atacurile de umplere a acreditărilor și preluarea de conturi. În plus, informațiile colectate pot fi vândute altor escroci, servind drept fundație pentru atacurile ulterioare, care pot varia de la campanii direcționate la ransomware sau încercări de extorcare.

Aceste evoluții subliniază evoluția continuă a malware-ului stealer într-o amenințare mai gravă. În același timp, piața Malware-as-a-Service (MaaS) a făcut aceste instrumente ușor accesibile și a redus barierele de intrare pentru aspiranții criminali cibernetici.

De fapt, experții în securitate cibernetică au observat o piață înfloritoare a furtului de informații, cu volumul de bușteni furați pe forumuri subterane, cum ar fi Piața Rusă, prezentând o creștere uluitoare de peste 600% între 2021 și 2023.