Novi maliciozni softver za krađu informacija pod nazivom Bandit Stealer privukao je pažnju istraživača kibernetičke bezbjednosti zbog svoje sposobnosti da cilja brojne web pretraživače i novčanike kriptovaluta.
“Ima potencijal da se proširi na druge platforme jer je Bandit Stealer razvijen korištenjem programskog jezika Go, što bi vjerovatno omogućilo kompatibilnost među platformama” navodi Trend Micro u svom izvještaju.
Maliciozni softver je trenutno fokusiran na ciljanje Windows-a korištenjem legitimnog alata naredbene linije pod nazivom runas.exe koji omogućava korisnicima da pokreću programe kao drugi korisnik s različitim dozvolama.
Cilj je eskalirati privilegije i izvršavati se uz administrativni pristup, čime se efektivno zaobilaze sigurnosne mjere za prikupljanje velikih količina podataka.
Međutim, Microsoft-ova ublažavanja kontrole pristupa kako bi se spriječilo neovlašteno izvršavanje alata znači pokušaj pokretanja binarnog malicioznog softvera jer administrator zahtijeva pružanje potrebnih kredencijala.
“Upotrebom naredbe runas.exe, korisnici mogu pokrenuti programe kao administratori ili bilo koji drugi korisnički račun sa odgovarajućim privilegijama, obezbijediti sigurnije okruženje za pokretanje kritičnih aplikacija ili obavljati zadatke na nivou sistema” rekao je Trend Micro.
“Ovaj uslužni program je posebno koristan u situacijama kada trenutni korisnički nalog nema dovoljne privilegije za izvršavanje određene naredbe ili programa.”
Bandit Stealer uključuje provjere kako bi se utvrdilo da li radi u sandbox-u ili virtuelnom okruženju i prekida listu procesa sa liste blokiranih kako bi prikrio svoje prisustvo na zaraženom sistemu.
Takođe uspostavlja postojanost pomoću Windows Registry modifikacija prije nego što započne svoje aktivnosti prikupljanja podataka koje uključuju prikupljanje ličnih i finansijskih podataka pohranjenih u web pretraživačima i kripto novčanicima.
Za Bandit Stealer se kaže da se distribuiše putem phishing email-ova koji sadrže datoteku dropper koja otvara naizgled bezopasan Microsoft Word prilog kao manevar odvlačenja pažnje dok pokreće infekciju u pozadini.
Trend Micro je saopštio da je takođe otkrio lažni instalacijski program Heart Sender, servisa koji automatizuje proces slanja neželjenih email-ova i SMS poruka brojnim primaocima, a koji se koristi da prevari korisnike da pokrenu ugrađeni malware.
Razvoj dolazi kada je kompanija za kibernetičku bezbjednost otkrila na Rust-u baziranu krađu informacija koja cilja na Windows koji koristi GitHub Codespaces webhook koji kontroliše napadač kao kanal za eksfiltraciju, za dobijanje kredencijala za web pretraživač žrtve, kreditnih kartica, novčanika kriptovaluta i Steam i Discord tokena.
Maliciozni softver, u relativno neuobičajenoj taktici, postiže postojanost na sistemu modifikovanjem instaliranog Discord klijenta da ubrizga JavaScript kod dizajniran za hvatanje informacija iz aplikacije.
Nalazi takođe prate pojavu nekoliko vrsta malicioznog softvera za krađu robe kao što su Luca, StrelaStealer, DarkCloud, WhiteSnake i Invicta Stealer, od kojih su neki primijećeni kako se šire putem neželjenih email-ova i lažnih verzija popularnog softvera.
Još jedan značajan trend je korištenje YouTube videa za reklamiranje krekovanog softvera putem ugroženih kanala sa milionima pretplatnika.
Podaci prikupljeni od kradljivaca mogu koristiti operaterima na mnogo načina, omogućavajući im da iskoriste svrhe kao što su krađa identiteta, finansijska dobit, kršenje podataka, napadi stuffing-a kredencijala i preuzimanje računa.
Ukradene informacije mogu se prodati i drugim hakerima, služeći kao osnova za naredne napade koji mogu biti u rasponu od ciljanih kampanja do ransomware napada ili iznude.
Ovaj razvoj događaja naglašava kontinuiranu evoluciju malware-a za krađu u opasniju pretnju, baš kao što ih tržište malware-a kao usluge (MaaS) čini lako dostupnim i smanjuje barijere ulaska za ambiciozne kibernetičke kriminalce.
Zaista, podaci koje je prikupio Secureworks Counter Threat Unit (CTU) otkrili su “procvalo tržište infokradljivaca”, s obimom ukradenih dnevnika na underground forumima kao što je Russian Market koji je bilježio skok od 670% između juna 2021. i maja 2023. godine.
“Rusko tržište nudi pet miliona logova na prodaju, što je oko deset puta više od najbližeg rivala na 2easy forumu” saopštila je kompanija.
“Rusko tržište je dobro uspostavljeno među ruskim kibernetičkim kriminalcima i uveliko ga koriste hakeri širom svijeta. Rusko tržište je nedavno dodalo zapise od tri nova kradljivaca, što sugeriše da se stranica aktivno prilagođava okruženju kibernetičkog kriminala koje se stalno mijenja.”
MaaS ekosistem, usprkos sve većoj sofistikovanosti, takođe je bio u fluktuaciji, s radnjama za provođenje zakona koje su navele hakere da plasiraju svoje proizvode na Telegram-u.
“Ono što vidimo je čitava underground ekonomija i prateća infrastruktura izgrađena oko kradljivaca informacija, čineći ne samo mogućim već i potencijalno unosnim da se umiješaju relativno nisko kvalifikovani hakeri” rekao je Don Smith, potpredsjednik Secureworks CTU-a.
“Koordinisana globalna akcija organa za provođenje zakona ima određeni uticaj, ali kibernetički kriminalci su vješti u oblikovanju svojih puteva do tržišta.”
Izvor: The Hacker News