Bandit Stealer 瞄准加密钱包
网络安全研究人员发现了一种新发现的名为 Bandit Stealer 的隐形恶意软件,该恶意软件具有针对各种网络浏览器和加密货币钱包的能力。正如趋势科技的一份报告所述,该恶意软件因其使用 Go 编程语言而声名狼藉,表明具有跨平台兼容性的潜力。
目前,Bandit Stealer 主要针对 Windows 系统,它使用一个名为 runas.exe 的合法命令行工具。该工具使用户能够在具有不同权限的不同用户帐户下执行程序。通过利用此工具,恶意软件旨在提升权限并以管理访问权限运行,从而有效规避安全措施并提取大量数据。
但是,值得注意的是,Microsoft 已实施访问控制缓解措施以防止未经授权执行 runas.exe。因此,以管理员身份运行恶意软件二进制文件需要提供适当的凭据。
趋势科技详细阐述了 runas.exe 命令,强调了它在管理员或具有足够权限的其他用户帐户下运行关键应用程序或执行系统级任务的实用性。当当前用户帐户缺乏执行特定命令或程序的必要权限时,这变得特别有价值。
Bandit Stealer 包含检测其是否在沙盒或虚拟环境中运行的机制。此外,它还会终止列入黑名单的进程列表,以有效地隐藏其在受害系统上的存在。在开始其数据收集活动(包括从网络浏览器和加密货币钱包收集个人和财务信息)之前,该恶意软件会通过修改 Windows 注册表来建立持久性。
分配方式
Bandit Stealer 的分发是通过包含投放文件的网络钓鱼电子邮件完成的。该文件打开一个看似无害的 Microsoft Word 附件以分散注意力,同时在后台静默启动感染过程。
趋势科技还发现了一个假冒的 Heart Sender 安装程序,这是一种自动向多个收件人发送垃圾邮件和 SMS 消息的服务。此安装程序用作欺骗性策略,诱使用户启动嵌入式恶意软件。
在一种相对不常见的策略中,恶意软件通过修改已安装的 Discord 客户端、注入从应用程序捕获信息的 JavaScript 代码来实现持久性。
另一个新兴趋势是利用拥有数百万订阅者的受损 YouTube 频道来宣传破解软件,从而导致数据泄露。这些被盗数据可以被犯罪者用于各种目的,例如身份盗窃、经济利益、撞库攻击和帐户接管。