Bandit Stealer taikosi į kriptovaliutų pinigines
Kibernetinio saugumo tyrėjai išskyrė naujai atrastą slaptą kenkėjišką programą, pavadintą „Bandit Stealer“, kuri turi galimybę nukreipti į daugybę interneto naršyklių ir kriptovaliutų piniginių. Kaip teigiama Trend Micro ataskaitoje, ši kenkėjiška programa išgarsėjo dėl „Go“ programavimo kalbos naudojimo.
Šiuo metu „Bandit Stealer“ daugiausia dėmesio skiria „Windows“ sistemoms, naudodama teisėtą komandų eilutės įrankį, vadinamą runas.exe. Šis įrankis leidžia vartotojams vykdyti programas naudojant skirtingas vartotojų paskyras su skirtingais leidimais. Naudodama šį įrankį kenkėjiška programa siekia išplėsti privilegijas ir paleisti administracinę prieigą, efektyviai išvengdama saugumo priemonių ir išgaudama didelius duomenų kiekius.
Tačiau verta paminėti, kad „Microsoft“ įdiegė prieigos kontrolės mažinimo priemones, kad išvengtų neteisėto runas.exe vykdymo. Todėl norint paleisti kenkėjiškos programos dvejetainį failą kaip administratorius, reikia pateikti atitinkamus kredencialus.
Trend Micro išsamiai aprašo komandą runas.exe, pabrėždama jos naudingumą paleidžiant svarbias programas arba atliekant sistemos lygio užduotis su administratoriumi arba kita vartotojo paskyra, turinčia atitinkamas teises. Tai tampa ypač vertinga, kai dabartinei vartotojo paskyrai trūksta reikiamų teisių vykdyti konkrečias komandas ar programas.
Bandit Stealer apima mechanizmus, leidžiančius nustatyti, ar jis veikia smėlio dėžėje ar virtualioje aplinkoje. Be to, jis nutraukia procesų, įtrauktų į juodąjį sąrašą, sąrašą, kad veiksmingai nuslėptų savo buvimą aukos sistemoje. Prieš pradėdama duomenų rinkimo veiklą, apimančią asmeninės ir finansinės informacijos rinkimą iš žiniatinklio naršyklių ir kriptovaliutų piniginių, kenkėjiška programa užtikrina patvarumą pakeisdama „Windows“ registrą.
Paskirstymo metodai
Bandit Stealer platinamas naudojant sukčiavimo el. laiškus, kuriuose yra lašintuvo failas. Šis failas atveria iš pažiūros nekenksmingą „Microsoft Word“ priedą, kad atitrauktų dėmesį, o fone tyliai inicijuoja infekcijos procesą.
„Trend Micro“ taip pat nustatė padirbtą „Heart Sender“ diegimo programą – paslaugą, kuri automatizuoja el. pašto ir SMS žinučių siuntimą keliems gavėjams. Ši diegimo programa yra apgaulinga taktika, priverčianti vartotojus paleisti įterptąją kenkėjišką programą.
Taikant gana neįprastą taktiką, kenkėjiška programa pasiekia atkaklumą modifikuojant įdiegtą „Discord“ klientą, įvedant „JavaScript“ kodą, kuris fiksuoja informaciją iš programos.
Kita nauja tendencija – pažeistų „YouTube“ kanalų, turinčių milijonus prenumeratorių, naudojimas reklamuojant nulaužtą programinę įrangą, dėl ko pažeidžiami duomenys. Šiuos pavogtus duomenis kaltininkai gali panaudoti įvairiais tikslais, pavyzdžiui, tapatybės vagystei, finansinei naudai, kredencialų užpildymo išpuoliams ir paskyros perėmimui.