Bandit Stealer 瞄準加密錢包
網絡安全研究人員發現了一種新發現的名為 Bandit Stealer 的隱形惡意軟件,該惡意軟件具有針對各種網絡瀏覽器和加密貨幣錢包的能力。正如趨勢科技的一份報告所述,該惡意軟件因其使用 Go 編程語言而聲名狼藉,表明具有跨平台兼容性的潛力。
目前,Bandit Stealer 主要針對 Windows 系統,它使用一個名為 runas.exe 的合法命令行工具。該工具使用戶能夠在具有不同權限的不同用戶帳戶下執行程序。通過利用此工具,惡意軟件旨在提升權限並以管理訪問權限運行,從而有效規避安全措施並提取大量數據。
但是,值得注意的是,Microsoft 已實施訪問控制緩解措施以防止未經授權執行 runas.exe。因此,以管理員身份運行惡意軟件二進製文件需要提供適當的憑據。
趨勢科技詳細闡述了 runas.exe 命令,強調了它在管理員或具有足夠權限的其他用戶帳戶下運行關鍵應用程序或執行系統級任務的實用性。噹噹前用戶帳戶缺乏執行特定命令或程序的必要權限時,這變得特別有價值。
Bandit Stealer 包含檢測其是否在沙盒或虛擬環境中運行的機制。此外,它還會終止列入黑名單的進程列表,以有效地隱藏其在受害系統上的存在。在開始其數據收集活動(包括從網絡瀏覽器和加密貨幣錢包收集個人和財務信息)之前,該惡意軟件會通過修改 Windows 註冊表來建立持久性。
分配方式
Bandit Stealer 的分發是通過包含投放文件的網絡釣魚電子郵件完成的。該文件打開一個看似無害的 Microsoft Word 附件以分散注意力,同時在後台靜默啟動感染過程。
趨勢科技還發現了一個假冒的 Heart Sender 安裝程序,這是一種自動向多個收件人發送垃圾郵件和 SMS 消息的服務。此安裝程序用作欺騙性策略,誘使用戶啟動嵌入式惡意軟件。
在一種相對不常見的策略中,惡意軟件通過修改已安裝的 Discord 客戶端、注入從應用程序捕獲信息的 JavaScript 代碼來實現持久性。
另一個新興趨勢是利用擁有數百萬訂閱者的受損 YouTube 頻道來宣傳破解軟件,從而導致數據洩露。這些被盜數據可以被犯罪者用於各種目的,例如身份盜竊、經濟利益、撞庫攻擊和帳戶接管。