Bandit Stealer

Cybersäkerhetsforskare har nyligen upptäckt en avancerad skadlig programvara som samlar in information som kallas Bandit Stealer. Denna smygande skadliga programvara har fått uppmärksamhet på grund av dess förmåga att rikta in sig på en mängd olika webbläsare och kryptovalutaplånböcker.

Enligt en rapport publicerad av säkerhetsforskare har denna hotfulla programvara, utvecklad med hjälp av programmeringsspråket Go, potential att utöka sin räckvidd till andra plattformar, vilket säkerställer potentiell kompatibilitet över plattformar.

För närvarande fokuserar Bandit Stealer främst på Windows-system. Den utnyttjar ett legitimt kommandoradsverktyg som kallas runas.exe, som tillåter användare att köra program med olika behörigheter under en annan användares konto. Genom att använda det här verktyget syftar den skadliga programvaran till att höja sina privilegier och få administrativ åtkomst. Följaktligen kringgår den skickligt säkerhetsåtgärder, vilket gör att den kan samla in stora mängder data utan upptäckt.

Bandit Stealer etablerar persistens och exfiltrerar känsliga data

För att utföra det skadliga verktyget måste cyberbrottslingar klara Microsofts åtgärder för kontroll av användaråtkomst. Detta innebär att angriparna måste tillhandahålla nödvändiga referenser när de försöker köra skadlig programvara binär som administratör. Enligt forskarna är det därför angriparna använder kommandot runas.exe, eftersom det gör det möjligt för användare att köra program med förhöjda privilegier, vilket ger en säker miljö för kritiska applikationer eller uppgifter på systemnivå. Detta verktyg är särskilt fördelaktigt när det aktuella användarkontot saknar tillräckliga privilegier för att utföra specifika kommandon eller program.

Dessutom innehåller Bandit Stealer olika kontroller för att fastställa om den körs i en sandlåda eller virtuell miljö. Hotet avslutar också en lista över svartlistade processer för att maskera dess närvaro på det komprometterade systemet och undvika att dra till sig onödig uppmärksamhet.

Innan man påbörjar sina datainsamlingsaktiviteter, som involverar insamling av personlig och finansiell information från webbläsare och plånböcker för kryptovaluta, etablerar Bandit Stealer uthållighet genom modifieringar i Windows-registret.

När det gäller distributionsmetoden för Bandit Stealer, tror man att skadlig programvara sprids via nätfiske-e-postmeddelanden som innehåller en skadad dropper-fil. Den här filen öppnar en till synes ofarlig Microsoft Word-bilaga, som fungerar som en distraktion medan den tyst utlöser infektionen i bakgrunden.

Marknaden för infostelare och insamlad data fortsätter att växa

Ansamlingen av data från stjälare ger illasinnade operatörer olika fördelar, vilket gör det möjligt för dem att utnyttja möjligheter som identitetsstöld, ekonomiska vinster, dataintrång, autentiseringsattacker och kontoövertaganden. Dessutom kan den insamlade informationen säljas till andra skurkar, vilket fungerar som en grund för efterföljande attacker som kan sträcka sig från riktade kampanjer till ransomware eller utpressningsförsök.

Denna utveckling understryker den pågående utvecklingen av skadlig programvara från stjälaren till ett allvarligare hot. Samtidigt har marknaden för Malware-as-a-Service (MaaS) gjort dessa verktyg lättillgängliga och har sänkt inträdesbarriärerna för aspirerande cyberbrottslingar.

Faktum är att cybersäkerhetsexperter har observerat en blomstrande marknad för infostölder, med volymen stulna stockar på underjordiska forum, som den ryska marknaden, som uppvisar en svindlande ökning med över 600 % mellan 2021 och 2023.