Bandit Stealer нацелен на криптокошельки

Исследователи кибербезопасности разобрали недавно обнаруженную скрытую вредоносную программу под названием Bandit Stealer, которая способна атаковать широкий спектр веб-браузеров и криптовалютных кошельков. Это вредоносное ПО приобрело известность благодаря использованию языка программирования Go, что предполагает возможность межплатформенной совместимости, как указано в отчете Trend Micro.

В настоящее время Bandit Stealer в основном ориентируется на системы Windows, используя законный инструмент командной строки под названием runas.exe. Этот инструмент позволяет пользователям выполнять программы под разными учетными записями пользователей с различными разрешениями. Используя этот инструмент, вредоносное ПО стремится повысить привилегии и работать с административным доступом, эффективно уклоняясь от мер безопасности и извлекая значительные объемы данных.

Однако стоит отметить, что корпорация Майкрософт внедрила средства контроля доступа, чтобы предотвратить несанкционированное выполнение runas.exe. Таким образом, запуск двоичного файла вредоносного ПО от имени администратора требует предоставления соответствующих учетных данных.

Trend Micro уточняет команду runas.exe, подчеркивая ее полезность при запуске критически важных приложений или выполнении задач системного уровня под администратором или другой учетной записью пользователя с соответствующими правами. Это становится особенно ценным, когда текущей учетной записи пользователя не хватает необходимых разрешений для выполнения определенных команд или программ.

Bandit Stealer включает в себя механизмы для определения того, работает ли он в песочнице или виртуальной среде. Кроме того, он завершает список процессов из черного списка, чтобы эффективно скрыть свое присутствие в системе-жертве. Прежде чем приступить к действиям по сбору данных, которые включают сбор личной и финансовой информации из веб-браузеров и криптовалютных кошельков, вредоносное ПО обеспечивает устойчивость, изменяя реестр Windows.

Методы распространения

Распространение Bandit Stealer осуществляется через фишинговые электронные письма, содержащие файл-дроппер. Этот файл открывает, казалось бы, безобидное вложение Microsoft Word в качестве отвлечения внимания, в то же время незаметно инициируя процесс заражения в фоновом режиме.

Компания Trend Micro также обнаружила поддельный установщик Heart Sender — службы, которая автоматизирует рассылку спам-сообщений и SMS-сообщений нескольким получателям. Этот установщик служит обманной тактикой, заставляя пользователей запускать встроенное вредоносное ПО.

Применяя относительно необычную тактику, вредоносная программа достигает устойчивости путем модификации установленного клиента Discord, внедрения кода JavaScript, который собирает информацию из приложения.

Еще одна новая тенденция — использование скомпрометированных каналов YouTube с миллионами подписчиков для рекламы взломанного программного обеспечения, что приводит к утечке данных. Эти украденные данные могут быть использованы злоумышленниками для различных целей, таких как кража личных данных, получение финансовой выгоды, атаки с заполнением учетных данных и захват учетных записей.