Bandit Stealer retter seg mot kryptolommebøker

Cybersikkerhetsforskere har plukket fra hverandre en nyoppdaget snikende skadelig programvare kalt Bandit Stealer, som har muligheten til å målrette mot et bredt spekter av nettlesere og kryptovaluta-lommebøker. Denne skadevaren har blitt kjent på grunn av bruken av programmeringsspråket Go, noe som antyder potensialet for kompatibilitet på tvers av plattformer, som det fremgår av en rapport fra Trend Micro.

For tiden fokuserer Bandit Stealer først og fremst på Windows-systemer, ved å bruke et legitimt kommandolinjeverktøy kalt runas.exe. Dette verktøyet gjør det mulig for brukere å kjøre programmer under forskjellige brukerkontoer med varierende tillatelser. Ved å utnytte dette verktøyet tar skadelig programvare som mål å eskalere privilegier og kjøre med administrativ tilgang, effektivt unngå sikkerhetstiltak og trekke ut betydelige mengder data.

Det er imidlertid verdt å merke seg at Microsoft har implementert tilgangskontrollbegrensninger for å forhindre uautorisert kjøring av runas.exe. Derfor krever kjøring av malware binær som administrator å oppgi riktig legitimasjon.

Trend Micro utdyper kommandoen runas.exe, og fremhever dens nytte ved å kjøre kritiske applikasjoner eller utføre oppgaver på systemnivå under en administrator eller en annen brukerkonto med tilstrekkelige rettigheter. Dette blir spesielt verdifullt når den nåværende brukerkontoen mangler de nødvendige tillatelsene til å utføre spesifikke kommandoer eller programmer.

Bandit Stealer har mekanismer for å oppdage om den opererer i en sandkasse eller et virtuelt miljø. I tillegg avslutter den en liste over svartelistede prosesser for å skjule sin tilstedeværelse på offersystemet effektivt. Før de starter sine datainnsamlingsaktiviteter, som involverer innhenting av personlig og økonomisk informasjon fra nettlesere og kryptovaluta-lommebøker, etablerer skadelig programvare utholdenhet ved å modifisere Windows-registeret.

Distribusjonsmetoder

Distribusjonen av Bandit Stealer oppnås gjennom phishing-e-poster som inneholder en dropper-fil. Denne filen åpner et tilsynelatende ufarlig Microsoft Word-vedlegg som en distraksjon mens den stille starter infeksjonsprosessen i bakgrunnen.

Trend Micro identifiserte også et forfalsket Heart Sender-installasjonsprogram, en tjeneste som automatiserer sending av spam-e-poster og SMS-meldinger til flere mottakere. Dette installasjonsprogrammet fungerer som en villedende taktikk som lurer brukere til å lansere den innebygde skadelige programvaren.

I en relativt uvanlig taktikk oppnår skadelig programvare utholdenhet ved å modifisere den installerte Discord-klienten, og injisere JavaScript-kode som fanger opp informasjon fra applikasjonen.

En annen ny trend er bruken av kompromitterte YouTube-kanaler med millioner av abonnenter for å annonsere for sprukket programvare, noe som resulterer i datainnbrudd. Disse stjålne dataene kan utnyttes av gjerningsmennene til ulike formål, for eksempel identitetstyveri, økonomisk vinning, legitimasjonsangrep og kontoovertakelser.