Haydut Hırsızı

Siber güvenlik araştırmacıları yakın zamanda, Bandit Stealer adlı gelişmiş bir bilgi toplayıcı kötü amaçlı yazılım keşfettiler. Bu gizli kötü amaçlı yazılım, çeşitli Web tarayıcılarını ve kripto para cüzdanlarını hedefleyebilmesi nedeniyle dikkatleri üzerine topladı.

Güvenlik araştırmacıları tarafından yayınlanan bir rapora göre, Go programlama dili kullanılarak geliştirilen bu tehdit edici yazılım, erişimini diğer platformlara da yayma potansiyeline sahip ve potansiyel çapraz platform uyumluluğu sağlıyor.

Şu anda, Bandit Stealer öncelikle Windows sistemlerine odaklanmaktadır. Kullanıcıların başka bir kullanıcının hesabı altında farklı izinlere sahip programları yürütmesine izin veren runas.exe olarak bilinen meşru bir komut satırı aracından yararlanır. Kötü amaçlı yazılım, bu aracı kullanarak ayrıcalıklarını yükseltmeyi ve yönetim erişimi elde etmeyi hedefliyor. Sonuç olarak, güvenlik önlemlerini ustalıkla atlatır ve tespit edilmeden çok büyük miktarda veri toplamasını sağlar.

Haydut Hırsızı Sebat Ediyor ve Hassas Verileri Sızdırıyor

Zararlı aracı çalıştırmak için siber suçluların Microsoft'un kullanıcı erişim denetimi önlemlerini geçmesi gerekiyor. Bu, saldırganların kötü amaçlı yazılım ikilisini yönetici olarak çalıştırmaya çalışırken gerekli kimlik bilgilerini sağlamaları gerektiği anlamına gelir. Araştırmacılara göre, saldırganların runas.exe komutunu kullanmasının nedeni bu, kullanıcıların yükseltilmiş ayrıcalıklara sahip programları çalıştırmasını sağlayarak kritik uygulamalar veya sistem düzeyindeki görevler için güvenli bir ortam sağlıyor. Bu yardımcı program, özellikle geçerli kullanıcı hesabının belirli komutları veya programları yürütmek için yeterli ayrıcalığa sahip olmadığı durumlarda faydalıdır.

Ek olarak, Bandit Stealer, sanal ortamda mı yoksa sanal ortamda mı çalıştığını belirlemek için çeşitli kontroller içerir. Tehdit ayrıca, güvenliği ihlal edilmiş sistemdeki varlığını gizlemek ve gereksiz dikkat çekmekten kaçınmak için kara listeye alınmış süreçlerin bir listesini de sonlandırır.

Bandit Stealer, Web tarayıcılarından ve kripto para cüzdanlarından kişisel ve finansal bilgilerin toplanmasını içeren veri toplama faaliyetlerini başlatmadan önce, Windows Kayıt Defterindeki değişiklikler yoluyla kalıcılık sağlar.

Bandit Stealer'ın dağıtım yöntemine gelince, kötü amaçlı yazılımın bozuk bir damlalık dosyası içeren kimlik avı e-postaları yoluyla yayıldığına inanılıyor. Bu dosya, görünüşte zararsız bir Microsoft Word ekini açar ve arka planda bulaşmayı sessizce tetiklerken dikkat dağıtma görevi görür.

Bilgi Hırsızları ve Toplanan Veri Pazarı Büyümeye Devam Ediyor

Hırsızlar tarafından veri birikimi, kötü niyetli operatörlere kimlik hırsızlığı, finansal kazançlar, veri ihlalleri, kimlik bilgileri doldurma saldırıları ve hesap ele geçirme gibi fırsatlardan yararlanmalarına olanak tanıyan çeşitli avantajlar sağlar. Ek olarak, toplanan bilgiler diğer dolandırıcılara satılarak, hedefli kampanyalardan fidye yazılımına veya gasp girişimlerine kadar değişebilen müteakip saldırılar için bir temel görevi görebilir.

Bu gelişmeler, hırsız kötü amaçlı yazılımın devam eden evriminin daha ciddi bir tehdide dönüştüğünün altını çiziyor. Aynı zamanda, Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) pazarı, bu araçları kolayca erişilebilir hale getirdi ve hevesli siber suçlular için giriş engellerini azalttı.

Aslında, siber güvenlik uzmanları, Rusya Pazarı gibi yer altı forumlarında çalınan günlük hacminin 2021 ile 2023 arasında %600'ün üzerinde şaşırtıcı bir artış sergilediği gelişen bir bilgi hırsızı pazarı gözlemlediler.