Banditendieb
Cybersicherheitsforscher haben kürzlich eine fortschrittliche Informationssammler-Malware namens Bandit Stealer entdeckt. Diese heimliche Malware hat aufgrund ihrer Fähigkeit, eine Vielzahl von Webbrowsern und Kryptowährungs-Wallets anzugreifen, Aufmerksamkeit erregt.
Laut einem von Sicherheitsforschern veröffentlichten Bericht hat diese bedrohliche Software, die mit der Programmiersprache Go entwickelt wurde, das Potenzial, ihre Reichweite auf andere Plattformen auszudehnen und so eine potenzielle plattformübergreifende Kompatibilität sicherzustellen.
Derzeit konzentriert sich der Bandit Stealer hauptsächlich auf Windows-Systeme. Es nutzt ein legitimes Befehlszeilentool namens runas.exe aus, das es Benutzern ermöglicht, Programme mit unterschiedlichen Berechtigungen unter dem Konto eines anderen Benutzers auszuführen. Durch den Einsatz dieses Tools zielt die Malware darauf ab, ihre Privilegien zu erweitern und administrativen Zugriff zu erlangen. Dadurch werden Sicherheitsmaßnahmen geschickt umgangen und es ist möglich, unerkannt große Datenmengen zu sammeln.
Der Bandit Stealer stellt Persistenz her und exfiltriert sensible Daten
Um das schädliche Tool auszuführen, müssen Cyberkriminelle die Benutzerzugriffskontrollmaßnahmen von Microsoft bestehen. Dies bedeutet, dass die Angreifer die erforderlichen Anmeldeinformationen angeben müssen, wenn sie versuchen, die Malware-Binärdatei als Administrator auszuführen. Den Forschern zufolge verwenden die Angreifer aus diesem Grund den Befehl runas.exe, da er Benutzern die Ausführung von Programmen mit erhöhten Rechten ermöglicht und so eine sichere Umgebung für kritische Anwendungen oder Aufgaben auf Systemebene bietet. Dieses Dienstprogramm ist besonders nützlich, wenn das aktuelle Benutzerkonto nicht über ausreichende Berechtigungen zum Ausführen bestimmter Befehle oder Programme verfügt.
Darüber hinaus verfügt der Bandit Stealer über verschiedene Prüfungen, um festzustellen, ob er in einer Sandbox oder einer virtuellen Umgebung ausgeführt wird. Die Bedrohung beendet auch eine Liste von Prozessen auf der schwarzen Liste, um ihre Präsenz auf dem kompromittierten System zu verschleiern und unnötige Aufmerksamkeit zu vermeiden.
Bevor der Bandit Stealer seine Datenerfassungsaktivitäten beginnt, bei denen persönliche und finanzielle Informationen aus Webbrowsern und Kryptowährungs-Wallets erfasst werden, stellt er durch Änderungen in der Windows-Registrierung eine Persistenz her.
Was die Verbreitungsmethode des Bandit Stealer angeht, geht man davon aus, dass die Malware über Phishing-E-Mails verbreitet wird, die eine beschädigte Dropper-Datei enthalten. Diese Datei öffnet einen scheinbar harmlosen Microsoft Word-Anhang, der als Ablenkung dient und im Hintergrund stillschweigend die Infektion auslöst.
Der Markt für Infostealer und gesammelte Daten wächst weiter
Die Anhäufung von Daten durch Diebe bietet schlecht gesinnten Betreibern verschiedene Vorteile und ermöglicht es ihnen, Gelegenheiten wie Identitätsdiebstahl, finanzielle Gewinne, Datenschutzverletzungen, Credential-Stuffing-Angriffe und Kontoübernahmen auszunutzen. Darüber hinaus können die gesammelten Informationen an andere Betrüger verkauft werden und als Grundlage für nachfolgende Angriffe dienen, die von gezielten Kampagnen bis hin zu Ransomware- oder Erpressungsversuchen reichen können.
Diese Entwicklungen unterstreichen die kontinuierliche Entwicklung der Stealer-Malware zu einer ernsteren Bedrohung. Gleichzeitig hat der Malware-as-a-Service (MaaS)-Markt diese Tools leicht zugänglich gemacht und die Eintrittsbarrieren für angehende Cyberkriminelle gesenkt.
Tatsächlich haben Cybersicherheitsexperten einen florierenden Infostealer-Markt beobachtet, wobei die Menge der gestohlenen Protokolle in Untergrundforen wie dem russischen Markt zwischen 2021 und 2023 einen atemberaubenden Anstieg von über 600 % verzeichnet.
