Ladrão de bandidos visa carteiras criptográficas

Pesquisadores de segurança cibernética separaram um malware furtivo recém-descoberto chamado Bandit Stealer, que possui a capacidade de atingir uma ampla variedade de navegadores da web e carteiras de criptomoedas. Esse malware ganhou notoriedade devido à utilização da linguagem de programação Go, sugerindo o potencial de compatibilidade entre plataformas, conforme afirma um relatório da Trend Micro.

Atualmente, o Bandit Stealer se concentra principalmente em sistemas Windows, empregando uma ferramenta de linha de comando legítima chamada runas.exe. Essa ferramenta permite que os usuários executem programas em diferentes contas de usuário com permissões variadas. Ao aproveitar essa ferramenta, o malware visa aumentar os privilégios e executar com acesso administrativo, evitando efetivamente as medidas de segurança e extraindo quantidades significativas de dados.

Vale a pena notar, no entanto, que a Microsoft implementou mitigações de controle de acesso para impedir a execução não autorizada de runas.exe. Portanto, executar o binário do malware como administrador exige o fornecimento das credenciais apropriadas.

A Trend Micro elabora o comando runas.exe, destacando sua utilidade na execução de aplicativos críticos ou na execução de tarefas no nível do sistema sob um administrador ou outra conta de usuário com privilégios adequados. Isso se torna particularmente valioso quando a conta de usuário atual não possui as permissões necessárias para executar comandos ou programas específicos.

Bandit Stealer incorpora mecanismos para detectar se está operando dentro de uma sandbox ou ambiente virtual. Além disso, encerra uma lista de processos na lista negra para ocultar sua presença no sistema da vítima de forma eficaz. Antes de iniciar suas atividades de coleta de dados, que envolvem a coleta de informações pessoais e financeiras de navegadores da web e carteiras de criptomoedas, o malware estabelece persistência modificando o Registro do Windows.

Métodos de distribuição

A distribuição do Bandit Stealer é realizada por meio de e-mails de phishing que contêm um arquivo dropper. Este arquivo abre um anexo aparentemente inofensivo do Microsoft Word como uma distração enquanto silenciosamente inicia o processo de infecção em segundo plano.

A Trend Micro também identificou um instalador falsificado do Heart Sender, um serviço que automatiza o envio de e-mails de spam e mensagens SMS para vários destinatários. Este instalador serve como uma tática enganosa, induzindo os usuários a iniciar o malware incorporado.

Em uma tática relativamente incomum, o malware consegue persistência modificando o cliente Discord instalado, injetando código JavaScript que captura informações do aplicativo.

Outra tendência emergente é a utilização de canais comprometidos do YouTube com milhões de assinantes para anunciar software crackeado, resultando em violações de dados. Esses dados roubados podem ser explorados pelos criminosos para vários fins, como roubo de identidade, ganho financeiro, ataques de preenchimento de credenciais e controle de contas.