Bandit Stealer cible les portefeuilles cryptographiques

Les chercheurs en cybersécurité ont identifié un malware furtif récemment découvert nommé Bandit Stealer, qui possède la capacité de cibler un large éventail de navigateurs Web et de portefeuilles de crypto-monnaie. Ce malware a acquis une notoriété en raison de son utilisation du langage de programmation Go, suggérant le potentiel de compatibilité multiplateforme, comme indiqué dans un rapport de Trend Micro.

Actuellement, Bandit Stealer se concentre principalement sur les systèmes Windows, en utilisant un outil de ligne de commande légitime appelé runas.exe. Cet outil permet aux utilisateurs d'exécuter des programmes sous différents comptes d'utilisateurs avec des autorisations variables. En exploitant cet outil, le logiciel malveillant vise à élever les privilèges et à fonctionner avec un accès administratif, contournant efficacement les mesures de sécurité et extrayant des quantités importantes de données.

Il convient toutefois de noter que Microsoft a mis en place des mesures de contrôle d'accès pour empêcher l'exécution non autorisée de runas.exe. Par conséquent, l'exécution du fichier binaire malveillant en tant qu'administrateur nécessite de fournir les informations d'identification appropriées.

Trend Micro élabore sur la commande runas.exe, soulignant son utilité pour exécuter des applications critiques ou effectuer des tâches au niveau du système sous un administrateur ou un autre compte d'utilisateur avec des privilèges adéquats. Cela devient particulièrement utile lorsque le compte d'utilisateur actuel ne dispose pas des autorisations nécessaires pour exécuter des commandes ou des programmes spécifiques.

Bandit Stealer intègre des mécanismes pour détecter s'il fonctionne dans un bac à sable ou un environnement virtuel. De plus, il met fin à une liste de processus sur liste noire pour dissimuler efficacement sa présence sur le système victime. Avant de commencer ses activités de collecte de données, qui impliquent la collecte d'informations personnelles et financières à partir de navigateurs Web et de portefeuilles de crypto-monnaie, le logiciel malveillant établit la persistance en modifiant le registre Windows.

Méthodes de distribution

La distribution de Bandit Stealer se fait par le biais d'e-mails de phishing contenant un fichier compte-gouttes. Ce fichier ouvre une pièce jointe Microsoft Word apparemment inoffensive comme une distraction tout en lançant silencieusement le processus d'infection en arrière-plan.

Trend Micro a également identifié un programme d'installation de Heart Sender contrefait, un service qui automatise l'envoi de spams et de SMS à plusieurs destinataires. Ce programme d'installation sert de tactique trompeuse, incitant les utilisateurs à lancer le logiciel malveillant intégré.

Dans une tactique relativement rare, le logiciel malveillant parvient à la persistance en modifiant le client Discord installé, en injectant du code JavaScript qui capture les informations de l'application.

Une autre tendance émergente est l'utilisation de chaînes YouTube compromises avec des millions d'abonnés pour faire la publicité de logiciels piratés, ce qui entraîne des violations de données. Ces données volées peuvent être exploitées par les auteurs à diverses fins, telles que le vol d'identité, le gain financier, les attaques de bourrage d'informations d'identification et les prises de contrôle de compte.