29/05/23
Новое скрытное вредоносное ПО, способное похищать информацию из браузеров и криптовалютных кошельков, привлекло внимание специалистов по кибербезопасности Trend Micro. Вредонос называется Bandit Stealer и разработан на языке программирования Go, что гипотетически позволяет ему работать на разных платформах, пишут в Securitylab.
Пока что Bandit Stealer атакует только Windows, используя законную командную утилиту «runas.exe», позволяющую запускать программы от имени другого пользователя с иным перечнем системных полномочий. Главная цель хакеров при использовании «runas.exe» — получить административный доступ и обойти защитные меры для сбора большого объёма данных.
«С помощью команды runas.exe пользователи могут запускать программы от имени администратора или любого другого пользователя с соответствующими правами, обеспечивая более безопасную среду для выполнения критических приложений или системных задач. Эта утилита особенно полезна в ситуациях, когда текущая учётная запись пользователя не имеет достаточных прав для выполнения определённой команды или программы», — говорится в отчёте компании Trend Micro, опубликованного 26 мая.
Bandit Stealer проверяет, не запущен ли он в песочнице или виртуальной среде, а затем завершает ряд системных процессов, чтобы скрыть своё присутствие на заражённом компьютере. Вредонос также обеспечивает постоянство в целевой системе с помощью изменения реестра Windows.
Вредоносная деятельность Bandit Stealer включает в себя извлечение личных и финансовых данных, хранящихся в браузерах и криптовалютных кошельках. Зловредное ПО распространяется через фишинговые электронные письма, содержащие файл-загрузчик, который открывает безобидный офисный документ Microsoft Word для отвода глаз, в то время как в фоновом режиме происходит непосредственно заражение.
Данные, собранные из программ для похищения информации, могут приносить пользу операторам разными способами: они могут использоваться для кражи личности, финансовой выгоды, нарушения конфиденциальности данных, атак по методу подбора учётных данных и захвата аккаунтов. Украденная информация также может быть продана другим действующим лицам и служить основой для последующих атак, которые могут варьироваться от целевых кампаний до вымогательства или атак с выкупом.
