Похититель бандитов

Исследователи кибербезопасности недавно обнаружили передовое вредоносное ПО для сбора информации под названием Bandit Stealer. Это незаметное вредоносное ПО привлекло внимание благодаря своей способности атаковать различные веб-браузеры и криптовалютные кошельки.

Согласно отчету, опубликованному исследователями в области безопасности, это угрожающее программное обеспечение, разработанное с использованием языка программирования Go, потенциально может распространиться на другие платформы, обеспечивая потенциальную межплатформенную совместимость.

В настоящее время Bandit Stealer ориентирован в первую очередь на системы Windows. Он использует законный инструмент командной строки, известный как runas.exe, который позволяет пользователям запускать программы с другими разрешениями под учетной записью другого пользователя. Используя этот инструмент, вредоносное ПО стремится повысить свои привилегии и получить административный доступ. Следовательно, он умело обходит меры безопасности, позволяя собирать огромные объемы данных без обнаружения.

Bandit Stealer устанавливает постоянство и извлекает конфиденциальные данные

Чтобы запустить вредоносный инструмент, киберпреступники должны пройти меры контроля доступа пользователей Microsoft. Это означает, что злоумышленники должны предоставить необходимые учетные данные при попытке запустить двоичный файл вредоносного ПО от имени администратора. По мнению исследователей, именно поэтому злоумышленники используют команду runas.exe, поскольку она позволяет пользователям запускать программы с повышенными привилегиями, обеспечивая безопасную среду для критически важных приложений или задач системного уровня. Эта утилита особенно полезна, когда текущая учетная запись пользователя не имеет достаточных привилегий для выполнения определенных команд или программ.

Кроме того, Bandit Stealer включает в себя различные проверки, чтобы установить, работает ли он в песочнице или виртуальной среде. Угроза также закрывает список процессов из черного списка, чтобы замаскировать свое присутствие в скомпрометированной системе и не привлекать ненужного внимания.

Прежде чем приступить к действиям по сбору данных, которые включают сбор личной и финансовой информации из веб-браузеров и криптовалютных кошельков, Bandit Stealer устанавливает постоянство путем внесения изменений в реестр Windows.

Что касается способа распространения Bandit Stealer, то считается, что вредоносное ПО распространяется через фишинговые письма, содержащие поврежденный файл дроппера. Этот файл открывает, казалось бы, безобидное вложение Microsoft Word, действуя как отвлечение, в то же время бесшумно запуская заражение в фоновом режиме.

Рынок инфостилеров и собираемых данных продолжает расти

Накопление данных похитителями предоставляет злонамеренным операторам различные преимущества, позволяя им использовать такие возможности, как кража личных данных, получение финансовой выгоды, утечка данных, атаки с подменой учетных данных и захват учетных записей. Кроме того, собранная информация может быть продана другим мошенникам, что послужит основой для последующих атак, которые могут варьироваться от целевых кампаний до программ-вымогателей или попыток вымогательства.

Эти события подчеркивают продолжающуюся эволюцию вредоносного ПО для кражи в более серьезную угрозу. В то же время рынок вредоносных программ как услуги (MaaS) сделал эти инструменты легкодоступными и снизил входные барьеры для начинающих киберпреступников.

На самом деле, эксперты по кибербезопасности наблюдали за процветающим рынком информационных краж, при этом объем украденных журналов на подпольных форумах, таких как Русский рынок, демонстрирует ошеломляющий рост более чем на 600% в период с 2021 по 2023 год.