Bandit Stealer prende di mira i portafogli crittografici

I ricercatori della sicurezza informatica hanno individuato un malware furtivo appena scoperto chiamato Bandit Stealer, che possiede la capacità di prendere di mira un'ampia gamma di browser Web e portafogli di criptovaluta. Questo malware ha acquisito notorietà grazie al suo utilizzo del linguaggio di programmazione Go, suggerendo il potenziale per la compatibilità multipiattaforma, come affermato in un rapporto di Trend Micro.

Attualmente, Bandit Stealer si concentra principalmente sui sistemi Windows, utilizzando uno strumento da riga di comando legittimo chiamato runas.exe. Questo strumento consente agli utenti di eseguire programmi con diversi account utente con autorizzazioni diverse. Sfruttando questo strumento, il malware mira a aumentare i privilegi ed eseguire con accesso amministrativo, eludendo efficacemente le misure di sicurezza ed estraendo quantità significative di dati.

Vale la pena notare, tuttavia, che Microsoft ha implementato mitigazioni del controllo degli accessi per impedire l'esecuzione non autorizzata di runas.exe. Pertanto, l'esecuzione del file binario del malware come amministratore richiede di fornire le credenziali appropriate.

Trend Micro elabora il comando runas.exe, evidenziandone l'utilità nell'esecuzione di applicazioni critiche o nell'esecuzione di attività a livello di sistema sotto un amministratore o un altro account utente con privilegi adeguati. Ciò diventa particolarmente utile quando l'account utente corrente non dispone delle autorizzazioni necessarie per eseguire comandi o programmi specifici.

Bandit Stealer incorpora meccanismi per rilevare se sta operando all'interno di una sandbox o di un ambiente virtuale. Inoltre, termina un elenco di processi nella lista nera per nascondere efficacemente la sua presenza sul sistema vittima. Prima di iniziare le sue attività di raccolta dati, che comportano la raccolta di informazioni personali e finanziarie dai browser Web e dai portafogli di criptovaluta, il malware stabilisce la persistenza modificando il registro di Windows.

Metodi di distribuzione

La distribuzione di Bandit Stealer avviene tramite e-mail di phishing che contengono un file dropper. Questo file apre un allegato Microsoft Word apparentemente innocuo come distrazione mentre avvia silenziosamente il processo di infezione in background.

Trend Micro ha inoltre identificato un programma di installazione contraffatto di Heart Sender, un servizio che automatizza l'invio di e-mail di spam e messaggi SMS a più destinatari. Questo programma di installazione funge da tattica ingannevole, inducendo gli utenti a lanciare il malware incorporato.

Con una tattica relativamente poco comune, il malware raggiunge la persistenza modificando il client Discord installato, iniettando codice JavaScript che acquisisce informazioni dall'applicazione.

Un'altra tendenza emergente è l'utilizzo di canali YouTube compromessi con milioni di abbonati per pubblicizzare software crackato, con conseguenti violazioni dei dati. Questi dati rubati possono essere sfruttati dagli autori per vari scopi, come furto di identità, guadagno finanziario, attacchi di credential stuffing e furto di account.