Bandit Stealer retter sig mod Crypto Wallets

Cybersikkerhedsforskere har udvalgt en nyopdaget snigende malware ved navn Bandit Stealer, som har evnen til at målrette en lang række webbrowsere og cryptocurrency-punge. Denne malware er blevet kendt på grund af dens brug af Go-programmeringssproget, hvilket tyder på potentialet for kompatibilitet på tværs af platforme, som angivet i en rapport fra Trend Micro.

I øjeblikket fokuserer Bandit Stealer primært på Windows-systemer ved at anvende et legitimt kommandolinjeværktøj kaldet runas.exe. Dette værktøj gør det muligt for brugere at udføre programmer under forskellige brugerkonti med forskellige tilladelser. Ved at udnytte dette værktøj sigter malwaren mod at eskalere privilegier og køre med administrativ adgang, effektivt undgå sikkerhedsforanstaltninger og udtrække betydelige mængder data.

Det er dog værd at bemærke, at Microsoft har implementeret adgangskontrolbegrænsninger for at forhindre uautoriseret eksekvering af runas.exe. Kørsel af malware binær som administrator kræver derfor at angive de relevante legitimationsoplysninger.

Trend Micro uddyber kommandoen runas.exe og fremhæver dens anvendelighed til at køre kritiske applikationer eller udføre opgaver på systemniveau under en administrator eller en anden brugerkonto med tilstrækkelige privilegier. Dette bliver særligt værdifuldt, når den aktuelle brugerkonto mangler de nødvendige tilladelser til at udføre specifikke kommandoer eller programmer.

Bandit Stealer inkorporerer mekanismer til at registrere, om den fungerer i en sandkasse eller et virtuelt miljø. Derudover afslutter den en liste over sortlistede processer for effektivt at skjule sin tilstedeværelse på offersystemet. Inden de påbegynder sine dataindsamlingsaktiviteter, som involverer indsamling af personlige og økonomiske oplysninger fra webbrowsere og cryptocurrency-tegnebøger, etablerer malwaren persistens ved at ændre Windows-registreringsdatabasen.

Distributionsmetoder

Distributionen af Bandit Stealer opnås gennem phishing-e-mails, der indeholder en dropper-fil. Denne fil åbner en tilsyneladende harmløs Microsoft Word-vedhæftet fil som en distraktion, mens den stille starter infektionsprocessen i baggrunden.

Trend Micro har også identificeret et forfalsket Heart Sender-installationsprogram, en tjeneste, der automatiserer afsendelse af spam-e-mails og SMS-beskeder til flere modtagere. Dette installationsprogram fungerer som en vildledende taktik, der narre brugere til at lancere den indlejrede malware.

I en relativt ualmindelig taktik opnår malwaren persistens ved at ændre den installerede Discord-klient og injicere JavaScript-kode, der fanger information fra applikationen.

En anden ny trend er brugen af kompromitterede YouTube-kanaler med millioner af abonnenter til at annoncere for cracket software, hvilket resulterer i databrud. Disse stjålne data kan udnyttes af gerningsmændene til forskellige formål, såsom identitetstyveri, økonomisk vinding, angreb på legitimationsoplysninger og kontoovertagelser.