Bandit Stealer atakuje portfele kryptowalut

Analitycy cyberbezpieczeństwa wyodrębnili nowo odkryte złośliwe oprogramowanie o nazwie Bandit Stealer, które może atakować szeroką gamę przeglądarek internetowych i portfeli kryptowalut. Szkodnik ten zyskał rozgłos dzięki wykorzystaniu języka programowania Go, co sugeruje potencjał kompatybilności między platformami, jak stwierdzono w raporcie firmy Trend Micro.

Obecnie Bandit Stealer koncentruje się głównie na systemach Windows, wykorzystując legalne narzędzie wiersza poleceń o nazwie runas.exe. To narzędzie umożliwia użytkownikom uruchamianie programów na różnych kontach użytkowników z różnymi uprawnieniami. Wykorzystując to narzędzie, złośliwe oprogramowanie ma na celu eskalację uprawnień i uruchamianie z dostępem administracyjnym, skutecznie unikając środków bezpieczeństwa i wydobywając znaczne ilości danych.

Warto jednak zauważyć, że firma Microsoft wdrożyła środki ograniczające kontrolę dostępu, aby zapobiec nieautoryzowanemu wykonaniu runas.exe. Dlatego uruchomienie pliku binarnego złośliwego oprogramowania jako administrator wymaga podania odpowiednich poświadczeń.

Firma Trend Micro szczegółowo omawia polecenie runas.exe, podkreślając jego przydatność w uruchamianiu krytycznych aplikacji lub wykonywaniu zadań na poziomie systemu z konta administratora lub innego użytkownika z odpowiednimi uprawnieniami. Staje się to szczególnie cenne, gdy bieżące konto użytkownika nie ma niezbędnych uprawnień do wykonywania określonych poleceń lub programów.

Bandit Stealer zawiera mechanizmy wykrywające, czy działa w piaskownicy, czy w środowisku wirtualnym. Dodatkowo zamyka listę procesów znajdujących się na czarnej liście, aby skutecznie ukryć swoją obecność w systemie ofiary. Przed rozpoczęciem działań związanych z gromadzeniem danych, które obejmują zbieranie informacji osobistych i finansowych z przeglądarek internetowych i portfeli kryptowalut, złośliwe oprogramowanie ustala trwałość, modyfikując rejestr systemu Windows.

Metody dystrybucji

Dystrybucja Bandit Stealer odbywa się za pośrednictwem e-maili phishingowych zawierających plik droppera. Ten plik otwiera pozornie nieszkodliwy załącznik programu Microsoft Word jako odwrócenie uwagi, jednocześnie po cichu inicjując proces infekcji w tle.

Firma Trend Micro zidentyfikowała również fałszywy instalator Heart Sender, usługę automatyzującą wysyłanie e-maili ze spamem i wiadomości SMS do wielu odbiorców. Instalator ten służy jako zwodnicza taktyka, nakłaniając użytkowników do uruchomienia wbudowanego złośliwego oprogramowania.

W stosunkowo rzadkiej taktyce złośliwe oprogramowanie osiąga trwałość, modyfikując zainstalowanego klienta Discord, wstrzykując kod JavaScript, który przechwytuje informacje z aplikacji.

Innym pojawiającym się trendem jest wykorzystywanie zainfekowanych kanałów YouTube z milionami subskrybentów do reklamowania złamanego oprogramowania, co skutkuje naruszeniem bezpieczeństwa danych. Te skradzione dane mogą być wykorzystywane przez sprawców do różnych celów, takich jak kradzież tożsamości, zysk finansowy, ataki polegające na upychaniu danych uwierzytelniających i przejmowanie kont.