Το Bandit Stealer στοχεύει τα κρυπτοπορτοφόλια

Οι ερευνητές στον τομέα της κυβερνοασφάλειας διάλεξαν ένα κρυφό κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα με το όνομα Bandit Stealer, το οποίο έχει την ικανότητα να στοχεύει ένα ευρύ φάσμα προγραμμάτων περιήγησης ιστού και πορτοφολιών κρυπτονομισμάτων. Αυτό το κακόβουλο λογισμικό έχει κερδίσει τη φήμη λόγω της χρήσης της γλώσσας προγραμματισμού Go, υποδηλώνοντας τη δυνατότητα για συμβατότητα μεταξύ πλατφορμών, όπως αναφέρεται σε έκθεση της Trend Micro.

Επί του παρόντος, το Bandit Stealer εστιάζει κυρίως σε συστήματα Windows, χρησιμοποιώντας ένα νόμιμο εργαλείο γραμμής εντολών που ονομάζεται runas.exe. Αυτό το εργαλείο επιτρέπει στους χρήστες να εκτελούν προγράμματα σε διαφορετικούς λογαριασμούς χρηστών με διαφορετικά δικαιώματα. Με τη μόχλευση αυτού του εργαλείου, το κακόβουλο λογισμικό στοχεύει στην κλιμάκωση των προνομίων και την εκτέλεση με πρόσβαση διαχειριστή, αποφεύγοντας ουσιαστικά τα μέτρα ασφαλείας και εξάγοντας σημαντικές ποσότητες δεδομένων.

Αξίζει να σημειωθεί, ωστόσο, ότι η Microsoft έχει εφαρμόσει μετριασμούς ελέγχου πρόσβασης για να αποτρέψει τη μη εξουσιοδοτημένη εκτέλεση του runas.exe. Επομένως, η εκτέλεση του δυαδικού κακόβουλου λογισμικού ως διαχειριστής απαιτεί την παροχή των κατάλληλων διαπιστευτηρίων.

Το Trend Micro επεξεργάζεται την εντολή runas.exe, υπογραμμίζοντας τη χρησιμότητά της για την εκτέλεση κρίσιμων εφαρμογών ή την εκτέλεση εργασιών σε επίπεδο συστήματος κάτω από έναν διαχειριστή ή άλλο λογαριασμό χρήστη με επαρκή δικαιώματα. Αυτό γίνεται ιδιαίτερα πολύτιμο όταν ο τρέχων λογαριασμός χρήστη δεν διαθέτει τα απαραίτητα δικαιώματα για την εκτέλεση συγκεκριμένων εντολών ή προγραμμάτων.

Το Bandit Stealer ενσωματώνει μηχανισμούς για να ανιχνεύσει εάν λειτουργεί σε sandbox ή εικονικό περιβάλλον. Επιπλέον, τερματίζει μια λίστα διαδικασιών στη μαύρη λίστα για να αποκρύψει αποτελεσματικά την παρουσία του στο σύστημα του θύματος. Πριν ξεκινήσει τις δραστηριότητες συλλογής δεδομένων, οι οποίες περιλαμβάνουν τη συλλογή προσωπικών και οικονομικών πληροφοριών από προγράμματα περιήγησης ιστού και πορτοφόλια κρυπτονομισμάτων, το κακόβουλο λογισμικό εδραιώνει την επιμονή τροποποιώντας το Μητρώο των Windows.

Μέθοδοι Διανομής

Η διανομή του Bandit Stealer πραγματοποιείται μέσω email phishing που περιέχουν ένα αρχείο dropper. Αυτό το αρχείο ανοίγει ένα φαινομενικά αβλαβές συνημμένο του Microsoft Word ως απόσπαση της προσοχής ενώ ξεκινά σιωπηλά τη διαδικασία μόλυνσης στο παρασκήνιο.

Η Trend Micro εντόπισε επίσης ένα πλαστό πρόγραμμα εγκατάστασης Heart Sender, μια υπηρεσία που αυτοματοποιεί την αποστολή ανεπιθύμητων email και μηνυμάτων SMS σε πολλούς παραλήπτες. Αυτό το πρόγραμμα εγκατάστασης χρησιμεύει ως παραπλανητική τακτική, εξαπατώντας τους χρήστες να εκκινήσουν το ενσωματωμένο κακόβουλο λογισμικό.

Σε μια σχετικά ασυνήθιστη τακτική, το κακόβουλο λογισμικό επιτυγχάνει επιμονή τροποποιώντας τον εγκατεστημένο πρόγραμμα-πελάτη Discord, εισάγοντας κώδικα JavaScript που συλλαμβάνει πληροφορίες από την εφαρμογή.

Μια άλλη αναδυόμενη τάση είναι η χρήση παραβιασμένων καναλιών YouTube με εκατομμύρια συνδρομητές για τη διαφήμιση σπασμένου λογισμικού, με αποτέλεσμα παραβιάσεις δεδομένων. Αυτά τα κλεμμένα δεδομένα μπορούν να χρησιμοποιηθούν από τους δράστες για διάφορους σκοπούς, όπως κλοπή ταυτότητας, οικονομικό κέρδος, επιθέσεις γεμίσματος διαπιστευτηρίων και εξαγορές λογαριασμών.