Бандит Викрадач

Дослідники кібербезпеки нещодавно виявили вдосконалене шкідливе програмне забезпечення Bandit Stealer, призначене для збору інформації. Це приховане зловмисне програмне забезпечення привернуло увагу завдяки своїй здатності націлюватися на різноманітні веб-браузери та криптовалютні гаманці.

Відповідно до звіту, опублікованого дослідниками безпеки, це загрозливе програмне забезпечення, розроблене з використанням мови програмування Go, має потенціал для поширення на інші платформи, забезпечуючи потенційну кросплатформну сумісність.

Наразі Bandit Stealer зосереджується переважно на системах Windows. Він використовує законний інструмент командного рядка, відомий як runas.exe, який дозволяє користувачам запускати програми з різними дозволами під обліковим записом іншого користувача. Використовуючи цей інструмент, зловмисне програмне забезпечення прагне підвищити свої привілеї та отримати адміністративний доступ. Отже, він вміло обходить заходи безпеки, дозволяючи збирати величезні обсяги даних без виявлення.

The Bandit Stealer встановлює стійкість і викрадає конфіденційні дані

Щоб запустити шкідливий інструмент, кіберзлочинці повинні пройти заходи контролю доступу користувачів Microsoft. Це означає, що зловмисники повинні надати необхідні облікові дані під час спроби запустити двійковий файл зловмисного програмного забезпечення від імені адміністратора. На думку дослідників, саме тому зловмисники використовують команду runas.exe, оскільки вона дозволяє користувачам запускати програми з підвищеними привілеями, забезпечуючи безпечне середовище для критичних програм або завдань системного рівня. Ця утиліта особливо корисна, коли поточний обліковий запис користувача не має достатніх привілеїв для виконання певних команд або програм.

Крім того, Bandit Stealer містить різні перевірки, щоб визначити, чи працює він у пісочниці чи віртуальному середовищі. Загроза також припиняє дію списку процесів із чорного списку, щоб замаскувати свою присутність у скомпрометованій системі та уникнути зайвої уваги.

Перед початком діяльності зі збору даних, яка включає збір особистої та фінансової інформації з веб-браузерів і криптовалютних гаманців, Bandit Stealer встановлює постійність за допомогою змін у реєстрі Windows.

Щодо методу розповсюдження Bandit Stealer, вважається, що зловмисне програмне забезпечення поширюється через фішингові електронні листи, які містять пошкоджений файл дроппера. Цей файл відкриває, здавалося б, нешкідливе вкладення Microsoft Word, діючи як відволікаючий засіб, водночас тихо запускаючи зараження у фоновому режимі.

Ринок злодіїв інформації та зібраних даних продовжує зростати

Накопичення даних викрадачами надає зловмисним операторам різноманітні переваги, дозволяючи їм використовувати такі можливості, як крадіжка особистих даних, фінансова вигода, витік даних, атаки підміни облікових даних і захоплення облікових записів. Крім того, зібрану інформацію можна продати іншим шахраям, служачи основою для подальших атак, які можуть варіюватися від цілеспрямованих кампаній до програм-вимагачів або спроб вимагання.

Ці події підкреслюють постійну еволюцію зловмисного ПЗ-викрадача у більш серйозну загрозу. Водночас ринок зловмисного програмного забезпечення як послуги (MaaS) зробив ці інструменти легкодоступними та знизив бар’єри для входу на ринок для кіберзлочинців.

Насправді експерти з кібербезпеки спостерігали процвітаючий ринок інформаційних крадіжок, коли обсяг викрадених журналів на підпільних форумах, таких як російський ринок, продемонстрував приголомшливий сплеск понад 600% між 2021 і 2023 роками.