Forskere inden for cybersikkerhed har opdaget en ny type malware, der fokuserer på at stjæle information fra webbrowsere og digitale tegnebøger, der bruges til kryptovalutaer.
Kaldet Bandit Stealer, malwaren har hidtil udelukkende målrettet Windows-systemer; eksperter foreslår dog, at det har potentialet til at udvide sin rækkevidde til andre platforme, herunder Linux. Det, der adskiller Bandit Stealer som særligt farligt, er dens evne til at undgå at blive opdaget af sine ofre, som forklaret i en rapport offentliggjort af Trend Micro fredag.
For eksempel er Bandit Stealer i stand til at omgå Windows Defender, et anti-malware-værktøj udviklet af Microsoft for at beskytte brugere mod forskellige trusler såsom virus, malware og spyware.
"A new info-stealer called Bandit Stealer is currently being promoted in the malware community. This malware can target various browsers and crypto wallets, bypass Windows Defender, and prevent anti-analysis" Tweet fra FalconFeedsio
Ifølge reklamer, der cirkulerer i malware-fællesskabet, forbedrer udviklerne af Bandit Stealer løbende malwarens funktionaliteter. En sådan meddelelse lyder: "Gør dig klar, fordi der kommer en større opdatering i næste uge, som vil overstråle andre stjæle." For yderligere indsigt henvises til Recorded Future Intelligence Cloud.
Malware-ekspertforskere har endnu ikke identificeret nogen aktiv hackergruppe, der er tilknyttet Bandit Stealer, og de har heller ikke fundet ud af, hvordan de stjålne oplysninger kan bruges.
Men både den gruppe, der er ansvarlig for malwaren og dens kunder, kan potentielt udnytte den til aktiviteter såsom identitetstyveri, databrud, angreb på legitimationsoplysninger og kontoovertagelser, siger Trend Micro.
Bandit Stealer's egenskaber
Bandit Stealer blev udviklet ved at bruge det meget udbredte Go-programmeringssprog skabt af Google. Dette valg af sprog giver malwaren mulighed for at operere på tværs af flere operativsystemer, mens den undgår opdagelse mere effektivt, forklarer Trend Micro.
Selvom Bandit Stealer udråber sig selv som "den mest avancerede info-stealer på markedet", deler den adskillige ligheder med andre stjælere, herunder Creal Stealer, Luna Grabber, Kyoku Cookie token-stealer og Pegasus Stealer, som bemærket af Trend Micro.
Malwaren er rettet mod en bred vifte af webbrowsere og kan udtrække forskellige typer offerdata, herunder brugernavne, aktuelle IP-adresser, detaljerede oplysninger om ofrets computer og harddisk samt landekoden, der er knyttet til en IP-adresse.
Det kan også kompromittere sikkerheden af et offers Telegram-meddelelsesapp, et populært valg blandt kryptovaluta-entusiaster. Når Bandit Stealer får uautoriseret adgang til Telegram, kan den udgive sig som den kompromitterede bruger, hvilket potentielt kan bedrage andre. Angriberne kan også få adgang til private beskeder og data forbundet med den kompromitterede Telegram-konto.
Bandit Stealer udviser vedholdenhed, hvilket betyder, at den udføres hver gang den inficerede computer starter eller genstarter. Selv efter en systemnedlukning fortsætter malwaren derfor med at fungere og stjæler data fra ofrets system.
Ifølge Trend Micro kan ofre ubevidst downloade Bandit Stealer, når de besøger ondsindede websteder eller bliver offer for phishing-e-mails.
Malwaren starter sit angreb ved at åbne et Word-dokument på ofrets computer og dupe brugeren til at starte, hvad der ser ud til at være en harmløs fil. Et af de dokumenter, Trend Micro opdagede, var et notat, der udtrykte bekymring over ofrets arbejdsindsats.
Ydermere kan Bandit Stealer forklæde sig som en svigagtig installatør til et program kaldet Heartsender, der typisk bruges til automatiseret e-mail-formidling i reklame- og marketingkampagner.
Comments