Bandit Stealer hat es auf Krypto-Wallets abgesehen

Cybersicherheitsforscher haben eine neu entdeckte heimliche Malware namens Bandit Stealer auseinandergenommen, die in der Lage ist, eine Vielzahl von Webbrowsern und Kryptowährungs-Wallets anzugreifen. Bekanntheit erlangte diese Schadsoftware durch die Verwendung der Programmiersprache Go, was auf das Potenzial für plattformübergreifende Kompatibilität schließen lässt, wie es in einem Bericht von Trend Micro heißt.

Derzeit konzentriert sich Bandit Stealer hauptsächlich auf Windows-Systeme und verwendet ein legitimes Befehlszeilentool namens runas.exe. Dieses Tool ermöglicht es Benutzern, Programme unter verschiedenen Benutzerkonten mit unterschiedlichen Berechtigungen auszuführen. Durch die Nutzung dieses Tools zielt die Malware darauf ab, die Berechtigungen zu erweitern und mit Administratorzugriff auszuführen, wodurch Sicherheitsmaßnahmen effektiv umgangen und erhebliche Datenmengen extrahiert werden.

Es ist jedoch erwähnenswert, dass Microsoft Maßnahmen zur Zugriffskontrolle implementiert hat, um die unbefugte Ausführung von runas.exe zu verhindern. Daher ist für die Ausführung der Malware-Binärdatei als Administrator die Angabe der entsprechenden Anmeldeinformationen erforderlich.

Trend Micro geht näher auf den Befehl runas.exe ein und hebt seine Nützlichkeit beim Ausführen kritischer Anwendungen oder beim Ausführen von Aufgaben auf Systemebene unter einem Administrator oder einem anderen Benutzerkonto mit entsprechenden Berechtigungen hervor. Dies ist besonders wertvoll, wenn das aktuelle Benutzerkonto nicht über die erforderlichen Berechtigungen zum Ausführen bestimmter Befehle oder Programme verfügt.

Bandit Stealer verfügt über Mechanismen, um zu erkennen, ob es in einer Sandbox oder einer virtuellen Umgebung betrieben wird. Darüber hinaus beendet es eine Liste von Prozessen auf der schwarzen Liste, um seine Präsenz auf dem System des Opfers effektiv zu verbergen. Bevor die Malware ihre Datenerfassungsaktivitäten beginnt, bei denen persönliche und finanzielle Informationen aus Webbrowsern und Kryptowährungs-Wallets erfasst werden, stellt sie eine Persistenz her, indem sie die Windows-Registrierung ändert.

Verteilungsmethoden

Die Verbreitung von Bandit Stealer erfolgt über Phishing-E-Mails, die eine Dropper-Datei enthalten. Diese Datei öffnet zur Ablenkung einen scheinbar harmlosen Microsoft Word-Anhang und löst gleichzeitig im Hintergrund den Infektionsprozess aus.

Trend Micro hat außerdem ein gefälschtes Heart Sender-Installationsprogramm identifiziert, einen Dienst, der den Versand von Spam-E-Mails und SMS-Nachrichten an mehrere Empfänger automatisiert. Dieses Installationsprogramm dient als Täuschungstaktik und verleitet Benutzer dazu, die eingebettete Malware zu starten.

In einer relativ ungewöhnlichen Taktik erreicht die Malware Persistenz, indem sie den installierten Discord-Client modifiziert und JavaScript-Code einfügt, der Informationen aus der Anwendung erfasst.

Ein weiterer aufkommender Trend ist die Nutzung kompromittierter YouTube-Kanäle mit Millionen von Abonnenten, um für geknackte Software zu werben, was zu Datenschutzverletzungen führt. Diese gestohlenen Daten können von den Tätern für verschiedene Zwecke ausgenutzt werden, beispielsweise für Identitätsdiebstahl, finanziellen Gewinn, Credential-Stuffing-Angriffe und Kontoübernahmen.