Bandit Stealer richt zich op crypto-portemonnees

Cyberbeveiligingsonderzoekers hebben een nieuw ontdekte, onopvallende malware uitgezocht, Bandit Stealer genaamd, die zich kan richten op een breed scala aan webbrowsers en cryptocurrency-portefeuilles. Deze malware heeft bekendheid gekregen vanwege het gebruik van de Go-programmeertaal, wat wijst op de mogelijkheid van platformonafhankelijke compatibiliteit, zoals vermeld in een rapport van Trend Micro.

Momenteel richt Bandit Stealer zich voornamelijk op Windows-systemen, met behulp van een legitieme opdrachtregeltool genaamd runas.exe. Met deze tool kunnen gebruikers programma's uitvoeren onder verschillende gebruikersaccounts met verschillende machtigingen. Door gebruik te maken van deze tool probeert de malware de privileges te vergroten en met beheerderstoegang te werken, waardoor beveiligingsmaatregelen effectief worden omzeild en aanzienlijke hoeveelheden gegevens worden onttrokken.

Het is echter vermeldenswaard dat Microsoft toegangsbeheerbeperkingen heeft geïmplementeerd om ongeoorloofde uitvoering van runas.exe te voorkomen. Daarom moet u voor het uitvoeren van de binaire malware als beheerder de juiste inloggegevens opgeven.

Trend Micro gaat dieper in op de opdracht runas.exe en benadrukt het nut ervan bij het uitvoeren van kritieke toepassingen of het uitvoeren van taken op systeemniveau onder een beheerder of een ander gebruikersaccount met voldoende rechten. Dit wordt met name waardevol wanneer het huidige gebruikersaccount niet over de benodigde machtigingen beschikt om specifieke opdrachten of programma's uit te voeren.

Bandit Stealer bevat mechanismen om te detecteren of het in een sandbox of virtuele omgeving werkt. Bovendien beëindigt het een lijst met processen op de zwarte lijst om zijn aanwezigheid op het slachtoffersysteem effectief te verbergen. Voordat de malware begint met het verzamelen van gegevens, waarbij persoonlijke en financiële informatie uit webbrowsers en cryptocurrency-portemonnees wordt verzameld, zorgt het voor persistentie door het Windows-register aan te passen.

Distributiemethoden

De verspreiding van Bandit Stealer vindt plaats via phishing-e-mails die een dropper-bestand bevatten. Dit bestand opent een ogenschijnlijk onschuldige Microsoft Word-bijlage als afleiding, terwijl het infectieproces in stilte op de achtergrond wordt gestart.

Trend Micro identificeerde ook een vervalst Heart Sender-installatieprogramma, een service die het verzenden van spam-e-mails en sms-berichten naar meerdere ontvangers automatiseert. Dit installatieprogramma dient als een misleidende tactiek om gebruikers te misleiden om de ingesloten malware te lanceren.

In een relatief ongebruikelijke tactiek bereikt de malware persistentie door de geïnstalleerde Discord-client aan te passen en JavaScript-code te injecteren die informatie van de applicatie vastlegt.

Een andere opkomende trend is het gebruik van gecompromitteerde YouTube-kanalen met miljoenen abonnees om reclame te maken voor gekraakte software, wat resulteert in datalekken. Deze gestolen gegevens kunnen door de daders worden misbruikt voor verschillende doeleinden, zoals identiteitsdiefstal, financieel gewin, credential stuffing-aanvallen en accountovernames.