Novo Bandit Stealer Mirando Navegadores da Web e Carteiras de Criptomoedas
29 de Maio de 2023

Um novo malware furtivo chamado Bandit Stealer chamou a atenção de pesquisadores de cibersegurança por sua capacidade de visar inúmeros navegadores da web e carteiras de criptomoedas.

"Ele tem o potencial de se expandir para outras plataformas, pois o Bandit Stealer foi desenvolvido usando a linguagem de programação Go, permitindo possivelmente a compatibilidade entre plataformas", disse a Trend Micro em um relatório na sexta-feira.

O malware está atualmente focado em visar o Windows usando uma ferramenta legítima de linha de comando chamada runas.exe que permite aos usuários executar programas como outro usuário com permissões diferentes.

O objetivo é escalar privilégios e executar-se com acesso administrativo, efetivamente contornando medidas de segurança para coletar amplas quantidades de dados.

Dito isto, as mitigação de controle de acesso da Microsoft para evitar a execução não autorizada da ferramenta significa que uma tentativa de executar o binário do malware como administrador requer fornecer as credenciais necessárias.

"Usando o comando runas.exe, os usuários podem executar programas como um administrador ou qualquer outra conta de usuário com privilégios apropriados, fornecendo um ambiente mais seguro para executar aplicativos críticos ou executar tarefas em nível do sistema", disse a Trend Micro.

Bandit Stealer incorpora verificações para determinar se está sendo executado em um ambiente virtual ou sandbox e encerra uma lista de processos bloqueados para ocultar sua presença no sistema infectado.

Ele também estabelece persistência por meio de modificações no Registro do Windows antes de iniciar suas atividades de coleta de dados que incluem a coleta de dados pessoais e financeiros armazenados em navegadores da web e carteiras criptográficas.

Diz-se que o Bandit Stealer é distribuído por meio de e-mails de phishing contendo um arquivo dropper que abre um anexo do Microsoft Word aparentemente inofensivo como uma manobra de distração enquanto aciona a infecção em segundo plano.

A Trend Micro disse que também detectou um instalador falso do Heart Sender, um serviço que automatiza o processo de envio de e-mails e mensagens SMS de spam para numerosos destinatários, que é usado para enganar os usuários a lançar o malware incorporado.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...