A Bandit Stealer a kriptográfiai pénztárcákat célozza meg
A kiberbiztonsági kutatók a Bandit Stealer nevű újonnan felfedezett lopakodó kártevőt választották ki, amely képes megcélozni a webböngészők és kriptovaluta pénztárcák széles körét. Ez a rosszindulatú program a Go programozási nyelv használatának köszönhetően vált ismertté, ami a platformok közötti kompatibilitás lehetőségére utal, amint azt a Trend Micro jelentésében kifejti.
Jelenleg a Bandit Stealer elsősorban a Windows rendszerekre összpontosít, és a runas.exe nevű legitim parancssori eszközt alkalmazza. Ez az eszköz lehetővé teszi a felhasználók számára, hogy programokat hajtsanak végre különböző felhasználói fiókok alatt, eltérő jogosultságokkal. Ennek az eszköznek a kihasználásával a rosszindulatú program célja, hogy kiterjessze a jogosultságokat, és rendszergazdai hozzáféréssel fusson, hatékonyan megkerülve a biztonsági intézkedéseket és jelentős mennyiségű adatot nyer ki.
Érdemes azonban megjegyezni, hogy a Microsoft hozzáférés-szabályozási csökkentéseket vezetett be, hogy megakadályozza a runas.exe illetéktelen futtatását. Ezért a rosszindulatú program bináris fájljának rendszergazdaként való futtatásához meg kell adni a megfelelő hitelesítő adatokat.
A Trend Micro részletesen kidolgozza a runas.exe parancsot, kiemelve annak hasznosságát a kritikus alkalmazások futtatásakor vagy rendszerszintű feladatok végrehajtásában rendszergazda vagy más megfelelő jogosultságokkal rendelkező felhasználói fiók alatt. Ez különösen akkor válik értékessé, ha az aktuális felhasználói fiók nem rendelkezik a szükséges engedélyekkel bizonyos parancsok vagy programok végrehajtásához.
A Bandit Stealer olyan mechanizmusokat tartalmaz, amelyek kimutatják, hogy homokozóban vagy virtuális környezetben működik-e. Ezenkívül megszünteti a feketelistán szereplő folyamatok listáját, hogy hatékonyan elrejtse jelenlétét az áldozat rendszerében. Mielőtt megkezdené adatgyűjtési tevékenységét, amely magában foglalja a személyes és pénzügyi adatok begyűjtését a webböngészőkből és a kriptovaluta pénztárcákból, a rosszindulatú program a Windows Registry módosításával biztosítja a tartósságot.
Elosztási módszerek
A Bandit Stealer terjesztése adathalász e-maileken keresztül történik, amelyek dropper fájlt tartalmaznak. Ez a fájl egy ártalmatlannak tűnő Microsoft Word-mellékletet nyit meg, hogy elvonja a figyelmet, miközben csendben elindítja a fertőzési folyamatot a háttérben.
A Trend Micro egy hamis Heart Sender telepítőt is azonosított, amely szolgáltatás automatizálja a spam e-mailek és SMS-ek több címzettnek történő elküldését. Ez a telepítő megtévesztő taktikaként szolgál, és ráveszi a felhasználókat a beágyazott rosszindulatú programok elindítására.
Egy viszonylag szokatlan taktika szerint a rosszindulatú program úgy éri el a kitartást, hogy módosítja a telepített Discord klienst, és olyan JavaScript kódot fecskendez be, amely információkat rögzít az alkalmazásból.
Egy másik feltörekvő tendencia az, hogy a több millió előfizetővel rendelkező YouTube-csatornákat feltört szoftverek reklámozására használják fel, ami adatszivárgáshoz vezet. Ezeket az ellopott adatokat az elkövetők különféle célokra, például személyazonosság-lopásra, anyagi haszonszerzésre, hitelesítő támadásokra és fiókok átvételére használhatják fel.