top of page

Bandit Infostealer er nu kompatibel med 17 forskellige browsere

Opdateret: 11. okt. 2023

Tilbage i april 2023 opdagede Zscaler ThreatLabz en ny info-tyver kaldet "Bandit Malware", der har skabt kaos på det digitale landskab.


Ransomware, Malware, Cobalt Strike, WinSCP, Black Cat, IT-kriminalitet, IT-sikkerhed

Denne ondsindede software er i stand til at snuppe følsomme data fra 17 forskellige browsere, inklusive cookies, logins og kreditkortoplysninger.


Men Bandit Stealer stopper ikke der. Det er også efter legitimationsoplysninger fra populære FTP- og e-mail-klienter, såvel som desktop-crypto-punge. Denne malware er skrevet i Go (Golang) og er designet til i det skjulte at sende stjålne data til en kommando-og-kontrol-server (C2) ved hjælp af Telegram, og dermed undgå opdagelse og analyse.


For yderligere at beskytte sig selv mod at blive opdaget, anvender Bandit Stealer forskellige anti-analyseteknikker. Det udnytter procfs Golang-biblioteket til at indsamle procesinformation og søger efter specifikke processer forbundet med virtuelle miljøer, såsom Xen, Vmware, VirtualBox, KVM, Sandbox, QEMU og jail, og afslutter omgående eksekvering, hvis den findes.


For at bekræfte tilstedeværelsen af ​​en debugger bruger malwaren Windows API-kald, specifikt "IsDebuggerPresent" og "CheckRemoteDebuggerPresent." Derudover opnår Bandit Stealer UUID og skærmdimensioner gennem WMIC-kommandoer, der hjælper den med at identificere analyseopsætninger.


For at undvige sikkerhedsleverandører og undgå mistanke er malwaren afhængig af en bred vifte af taktikker, herunder indsamling af IP-adresser, MAC-adresser, computernavne, brugernavne og procesnavne. Malwaren henter systemets eksterne IP fra "api.ipify.org" og sammenligner den derefter med en liste over sortlistede IP-adresser fra appendiks. På samme måde indsamler den MAC-adressen ved hjælp af GetAdaptersAddresses Windows API og tjekker den mod en anden sortliste for at afslutte, hvis der er et match.


Bandit Stealer går den ekstra mil ved at få yderligere sortlister via "cmd /c net session" for at bekræfte brugernavnet og computernavnet på offeret. Ydermere fanger den et proces-snapshot ved hjælp af CreateToolhelp32Snapshot Windows API og scanner det mod en sortliste for at afslutte, hvis en sortlistet proces kører i hukommelsen.


Malwaren er specielt designet til at målrette adskillige browsere, herunder Yandex Browser, Iridium Browser, Google Chrome, Microsoft Edge og mange andre. Det har også sit syn på forskellige cryptocurrency-punge som Coinbase, TronLink, MetaMask og mere, sammen med FTP-klientapplikationer og e-mail-klienter som MailSpring og Opera Mail.


Bandit Infostealer, Malware, Zscaler ThreatLabz, IT-sikkerhed

Efter at have stjålet data, gemmer Bandit dem i filer i en undermappe i %appdata%\local-mappen, hvor undermappen følger formatet [country_code][ip_address]. Til alsidig dataoverførsel udnytter Bandit Windows 10 v1803's standard cURL-værktøj, der understøtter HTTP-, FTP- og SMTP-standarder.


For at opdatere sin sortlistekonfiguration downloader Bandit information fra en hårdkodet URL ved hjælp af "pastebin.com" og sender derefter disse data til trusselsaktøren via Telegram, når dataindsamlingen er afsluttet. De stjålne oplysninger parses og udtrækkes automatisk af Bandit-trusselsaktøren, hvilket resulterer i et JSON-kodet svar.


Opdagelsen af ​​Bandit Inforstealeren er en skarp påmindelse om de udviklende trusler i cybersikkerhedslandskabet. Det understreger vigtigheden af ​​årvågne sikkerhedsforanstaltninger og konstant opmærksomhed for at beskytte følsomme oplysninger mod at falde i hænderne på cyberkriminelle.

Comments


bottom of page