Bandit Stealer 是趨勢科技最近發現的一種信息竊取程序,它有效地針對加密貨幣錢包和網絡瀏覽器,同時巧妙地避免檢測。

該惡意軟件優先將 Windows 作為其目標,并利用合法的命令行工具runas[.]exe 在不同的用戶權限下執行程序。

目的是提升權限、獲得管理訪問權限并繞過安全措施以有效收集大量用戶數據。

逃避殺毒軟件

由于使用 Go 編程語言,該惡意軟件具有跨平臺兼容性,使其能夠將影響擴展到各種平臺。

Bandit Stealer 采用沙盒檢測機制來調整其行為并根據其檢查的特定指標逃避檢測或分析:

container

jail

KVM

QEMU

sandbox

Virtual Machine

VirtualBox

VMware

Xen

在惡意軟件中包含特定于 Linux 的命令表明它可能旨在感染Linux 機器并且可能正在接受測試,因為在 Windows 系統上訪問“/proc/self/status”文件路徑會導致錯誤。

惡意軟件從 AppData 文件夾中的 Pastebin 鏈接 (hxxps[:]//pastebin[.]com/raw/3fS0MSjN) 檢索內容并將其保存為名為“blacklist.txt”的文件。

在下面,我們提到了此列表包含的所有詳細信息:

硬件 ID

IP地址

MAC地址

用戶名

主機名

進程名稱

所有這些細節主要的目的是確定惡意軟件是在沙盒中運行還是在接受測試。

惡意軟件的傳播

惡意軟件通過釣魚郵件傳播,將自己偽裝成無害的 MS Word 附件,在后臺啟動感染過程,從而分散用戶的注意力。

微軟的訪問控制機制將以管理員身份運行惡意軟件,當用戶缺乏執行程序所需的足夠權限時,該機制非常有用。

惡意軟件修改了 Windows 注冊表,并持續收集從加密貨幣錢包和瀏覽器中提取的個人和財務數據。

Bandit Stealer 竊取Telegram會話以進行未經授權的訪問,從而實現冒充和惡意行為,例如訪問私人消息和數據。

掃描瀏覽器和錢包

以下是我們提到的瀏覽器:

7Star

YandexBrowser

Brave-Browser

Amigo

Torch

Google Chrome Canary

Google Chrome

Cent Browser

Sputnik

Iridium

Orbitum

UCozMedia

Epic Privacy Browser

Microsoft Edge

Kometa

以下是被掃描的所有錢包:

Clover Wallet

Jaxx Liberty

Wombat

TronLink

Trust Wallet

Crypto.com

BitKeep: Crypto & NFT Wallet

以下是我們從受害者的瀏覽器中竊取的數據類型:

Login data

Cookies

Web history

Credit card details

研究人員發現了一個偽造的 Heart Sender安裝程序,它可以誘騙用戶啟動嵌入式惡意軟件、自動發送垃圾短信和電子郵件。

從 Bandit Stealer 和類似竊取者竊取的信息使攻擊者能夠從事身份盜竊、數據泄露、經濟利益、帳戶劫持、憑據填充、出售給其他網絡犯罪分子,以及進行雙重勒索和勒索軟件等后續攻擊。

軟件
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接