Ladrón de bandidos apunta a billeteras criptográficas

Los investigadores de seguridad cibernética han seleccionado un malware sigiloso recientemente descubierto llamado Bandit Stealer, que posee la capacidad de apuntar a una amplia gama de navegadores web y billeteras de criptomonedas. Este malware ha ganado notoriedad debido a su uso del lenguaje de programación Go, lo que sugiere el potencial de compatibilidad entre plataformas, como se indica en un informe de Trend Micro.

Actualmente, Bandit Stealer se enfoca principalmente en sistemas Windows, empleando una herramienta de línea de comandos legítima llamada runas.exe. Esta herramienta permite a los usuarios ejecutar programas bajo diferentes cuentas de usuario con diferentes permisos. Al aprovechar esta herramienta, el malware tiene como objetivo aumentar los privilegios y ejecutarse con acceso administrativo, evadiendo de manera efectiva las medidas de seguridad y extrayendo cantidades significativas de datos.

Sin embargo, vale la pena señalar que Microsoft ha implementado mitigaciones de control de acceso para evitar la ejecución no autorizada de runas.exe. Por lo tanto, ejecutar el binario de malware como administrador requiere proporcionar las credenciales adecuadas.

Trend Micro desarrolla el comando runas.exe, destacando su utilidad para ejecutar aplicaciones críticas o realizar tareas a nivel del sistema bajo un administrador u otra cuenta de usuario con los privilegios adecuados. Esto se vuelve particularmente valioso cuando la cuenta de usuario actual carece de los permisos necesarios para ejecutar comandos o programas específicos.

Bandit Stealer incorpora mecanismos para detectar si está operando dentro de un entorno sandbox o virtual. Además, finaliza una lista de procesos en la lista negra para ocultar su presencia en el sistema de la víctima de manera efectiva. Antes de comenzar sus actividades de recopilación de datos, que implican recopilar información personal y financiera de navegadores web y billeteras de criptomonedas, el malware establece persistencia modificando el Registro de Windows.

Métodos de distribución

La distribución de Bandit Stealer se logra a través de correos electrónicos de phishing que contienen un archivo cuentagotas. Este archivo abre un archivo adjunto aparentemente inofensivo de Microsoft Word como una distracción mientras inicia silenciosamente el proceso de infección en segundo plano.

Trend Micro también identificó un instalador falso de Heart Sender, un servicio que automatiza el envío de correos electrónicos no deseados y mensajes SMS a múltiples destinatarios. Este instalador sirve como una táctica engañosa, engañando a los usuarios para que inicien el malware incrustado.

En una táctica relativamente poco común, el malware logra persistencia modificando el cliente Discord instalado, inyectando código JavaScript que captura información de la aplicación.

Otra tendencia emergente es la utilización de canales de YouTube comprometidos con millones de suscriptores para anunciar software pirateado, lo que genera filtraciones de datos. Estos datos robados pueden ser explotados por los perpetradores para diversos fines, como el robo de identidad, la ganancia financiera, los ataques de relleno de credenciales y la apropiación de cuentas.