暗号通貨ウォレットを狙うバンディット・スティーラー
サイバーセキュリティ研究者らは、新たに発見された「Bandit Stealer」というステルス型マルウェアを特定しました。このマルウェアは、広範囲の Web ブラウザや仮想通貨ウォレットを標的にする能力を持っています。トレンドマイクロのレポートで述べられているように、このマルウェアは Go プログラミング言語を使用しているため悪名が高く、クロスプラットフォーム互換性の可能性を示唆しています。
現在、Bandit Stealer は主に Windows システムに焦点を当てており、runas.exe と呼ばれる正規のコマンド ライン ツールを使用しています。このツールを使用すると、ユーザーはさまざまな権限を持つ異なるユーザー アカウントでプログラムを実行できます。このツールを利用することで、マルウェアは権限を昇格させ、管理アクセスで実行し、セキュリティ対策を効果的に回避し、大量のデータを抽出することを目的としています。
ただし、Microsoft が runas.exe の不正な実行を防ぐためにアクセス制御の緩和策を実装していることは注目に値します。したがって、管理者としてマルウェア バイナリを実行するには、適切な資格情報を提供する必要があります。
トレンドマイクロは runas.exe コマンドについて詳しく説明し、管理者または適切な権限を持つ別のユーザー アカウントで重要なアプリケーションを実行したり、システム レベルのタスクを実行したりする際のこのコマンドの有用性を強調しています。これは、現在のユーザー アカウントに特定のコマンドまたはプログラムを実行するために必要な権限がない場合に特に役立ちます。
Bandit Stealer には、サンドボックスまたは仮想環境内で動作しているかどうかを検出するメカニズムが組み込まれています。さらに、ブラックリストに登録されたプロセスのリストを終了して、被害者システム上での存在を効果的に隠蔽します。このマルウェアは、Web ブラウザや仮想通貨ウォレットから個人情報や財務情報を収集するデータ収集活動を開始する前に、Windows レジストリを変更することで永続性を確立します。
配布方法
Bandit Stealer の配布は、ドロッパー ファイルを含むフィッシングメールによって行われます。このファイルは、バックグラウンドで感染プロセスを静かに開始しながら、気を散らすために一見無害な Microsoft Word の添付ファイルを開きます。
トレンドマイクロは、複数の受信者へのスパムメールや SMS メッセージの送信を自動化するサービスである、偽造の Heart Sender インストーラーも特定しました。このインストーラーは、ユーザーをだまして組み込みマルウェアを起動させる詐欺的な戦術として機能します。
比較的珍しい戦術では、マルウェアは、インストールされている Discord クライアントを変更し、アプリケーションから情報を取得する JavaScript コードを挿入することで永続化を実現します。
もう 1 つの新たな傾向は、何百万人もの登録者がいる侵害された YouTube チャンネルを利用して、クラックされたソフトウェアを宣伝し、データ侵害を引き起こすというものです。これらの盗まれたデータは、個人情報の盗難、金銭的利益、クレデンシャル スタッフィング攻撃、アカウントの乗っ取りなど、さまざまな目的で加害者によって悪用される可能性があります。