Voleur de bandits

Les chercheurs en cybersécurité ont récemment découvert un logiciel malveillant avancé de collecte d'informations appelé Bandit Stealer. Ce malware furtif a attiré l'attention en raison de sa capacité à cibler une variété de navigateurs Web et de portefeuilles de crypto-monnaie.

Selon un rapport publié par des chercheurs en sécurité, ce logiciel menaçant, développé à l'aide du langage de programmation Go, a le potentiel d'étendre sa portée à d'autres plates-formes, assurant une compatibilité multiplateforme potentielle.

Actuellement, le Bandit Stealer se concentre principalement sur les systèmes Windows. Il exploite un outil de ligne de commande légitime connu sous le nom de runas.exe, qui permet aux utilisateurs d'exécuter des programmes avec différentes autorisations sous le compte d'un autre utilisateur. En utilisant cet outil, le logiciel malveillant vise à élever ses privilèges et à obtenir un accès administratif. Par conséquent, il contourne habilement les mesures de sécurité, ce qui lui permet de collecter de grandes quantités de données sans détection.

The Bandit Stealer établit la persistance et exfiltre les données sensibles

Pour exécuter l'outil nuisible, les cybercriminels doivent passer les mesures de contrôle d'accès des utilisateurs de Microsoft. Cela signifie que les attaquants doivent fournir les informations d'identification nécessaires lorsqu'ils tentent d'exécuter le binaire malveillant en tant qu'administrateur. Selon les chercheurs, c'est pourquoi les attaquants utilisent la commande runas.exe, car elle permet aux utilisateurs d'exécuter des programmes avec des privilèges élevés, fournissant un environnement sécurisé pour les applications critiques ou les tâches au niveau du système. Cet utilitaire est particulièrement utile lorsque le compte d'utilisateur actuel ne dispose pas des privilèges suffisants pour exécuter des commandes ou des programmes spécifiques.

De plus, le Bandit Stealer intègre diverses vérifications pour déterminer s'il s'exécute dans un bac à sable ou un environnement virtuel. La menace met également fin à une liste de processus sur liste noire pour masquer sa présence sur le système compromis et éviter d'attirer inutilement l'attention.

Avant de lancer ses activités de collecte de données, qui impliquent la collecte d'informations personnelles et financières à partir de navigateurs Web et de portefeuilles de crypto-monnaie, le Bandit Stealer établit la persistance grâce à des modifications dans le registre Windows.

En ce qui concerne la méthode de distribution du Bandit Stealer, on pense que le malware se propage via des e-mails de phishing contenant un fichier dropper corrompu. Ce fichier ouvre une pièce jointe Microsoft Word apparemment inoffensive, agissant comme une distraction tout en déclenchant silencieusement l'infection en arrière-plan.

Le marché des voleurs d'informations et des données collectées continue de croître

L'accumulation de données par les voleurs offre aux opérateurs malveillants divers avantages, leur permettant d'exploiter des opportunités telles que le vol d'identité, les gains financiers, les violations de données, les attaques de bourrage d'informations d'identification et les prises de contrôle de compte. De plus, les informations collectées peuvent être vendues à d'autres escrocs, servant de base à des attaques ultérieures pouvant aller de campagnes ciblées à des rançongiciels ou à des tentatives d'extorsion.

Ces développements soulignent l'évolution continue du malware voleur vers une menace plus grave. Simultanément, le marché des logiciels malveillants en tant que service (MaaS) a rendu ces outils facilement accessibles et a abaissé les barrières à l'entrée pour les cybercriminels en herbe.

En fait, les experts en cybersécurité ont observé un marché florissant des voleurs d'informations, le volume de journaux volés sur des forums clandestins, tels que le marché russe, affichant une augmentation vertigineuse de plus de 600 % entre 2021 et 2023.