بدافزار سرقت اطلاعات مخفی جدید به نام Bandit Stealer
بدافزار سرقت اطلاعات مخفی جدید به نام Bandit Stealer توجه محققان امنیت سایبری را به دلیل توانایی آن در هدف قرار دادن تعداد زیادی مرورگر وب و کیف پول های ارزهای دیجیتال به خود جلب کرده است.
Bandit Stealer یک بدافزار نوظهور برای سرقت اطلاعات است که به سرعت در حال گسترش می باشد. زیرا مرورگرها و کیف پولهای ارزهای دیجیتال متعددی را هدف قرار میدهد و در عین حال از شناسایی فرار میکند.
بدافزار Bandit Stealer این پتانسیل را دارد که به پلتفرم های دیگر گسترش یابد . زیرا Bandit Stealer با استفاده از زبان برنامه نویسی Go توسعه داده شده است و احتمالاً امکان سازگاری بین پلتفرم ها را فراهم می کند.
استیلر ها Stealer ، نوعی کیلاگر پیشرفته هستند که هدف ان ها دریافت اطلاعات حساس یک سیستم مانند پسورد های ذخیره شده ان است . این پسورد های ذخیره شده به طور مثال میتواند در مرورگر ذخیره شده باشد که هکر با استفاده از STEALER ها ان را استخراج میکنند استیلر ها دو دسته دارند STEALER هایی که اطلاعات را به سروری دیگری ارسال میکنند و STEALER هایی که اطلاعات را به شخص در همان سیستم نمایش میدهند
این بدافزار در حال حاضر با استفاده از یک command-line tool قانونی ، به نام runas.exe که به کاربران اجازه می دهد برنامه ها را به عنوان کاربر دیگری با مجوزهای مختلف اجرا کنند، روی هدف قرار دادن ویندوز متمرکز شده است.
در کل، CLI tools در ریاکت برای ایجاد، توسعه و مدیریت برنامههای ریاکت استفاده میشوند و با استفاده از دستورات خط فرمان، میتوانند فرایند توسعه را سادهتر و موثرتر کنند.
با این اوصاف، کاهش کنترل دسترسی مایکروسافت برای جلوگیری از اجرای غیرمجاز ابزار به معنای تلاش برای اجرای باینری بدافزار به عنوان یک مدیر مستلزم ارائه اعتبار لازم است.
یک متخصص امنیت شبکه گفت: «با استفاده از دستور runas.exe، کاربران میتوانند برنامهها را بهعنوان مدیر یا هر حساب کاربری دیگری با امتیازات مناسب اجرا کنند، محیط امنتری را برای اجرای برنامههای مهم فراهم کنند یا وظایف سطح سیستم را انجام دهند».
“این ابزار به ویژه در شرایطی مفید است که حساب کاربری فعلی از امتیازات کافی برای اجرای یک دستور یا برنامه خاص برخوردار نیست.”
Bandit Stealer ، گزینه های لازم را برای جلوگیری از شناسایی اجرای خود در یک sandbox یا محیط مجازی و همینطور سیستم آلوده و بلاک لیست ها در خود گنجانده است.
همچنین قبل از شروع فعالیتهای جمعآوری دادهها ،که شامل جمعآوری دادههای شخصی و مالی ذخیرهشده در مرورگرهای وب و کیف پولهای کریپتو میشود، با استفاده از تغییرات رجیستری ویندوز، ماندگاری خود را تثبیت میکند.
گفته می شود که Bandit Stealer از طریق ایمیل های فیشینگ حاوی یک فایل دراپر توزیع می شود. پیوست ایمیل فیشینگ شامل یک فایل به ظاهر بی ضرر مایکروسافت ورد است که حواس کاربر را پرت می کند و در عین حال باعث ایجاد آلودگی در پس زمینه می شود.
در این خبر آمده است که سرویسی که فرآیند ارسال ایمیل های هرزنامه و پیام های SMS فیک را به گیرندگان متعدد به صورت خودکار راه می اندازد، که برای فریب کاربران برای راه اندازی بدافزار تعبیه شده استفاده می شود را شناسایی کرده اند.
زمانی که شرکت امنیت سایبری یک سارق اطلاعات ، مبتنی بر زبان برنامه نویسی Rust درحالی که ویندوز را هدف قرار داده است را کشف کند . شروع به توسعه خدمات امنیتی در این ارتباط می کند. طی بررسیها از یک وب هوک GitHub Codespaces که توسط مهاجم کنترل میشود بهعنوان یک کانال نفوذ برای دریافت اعتبار مرورگر وب قربانی، کارتهای اعتباری، کیف پولهای ارزهای دیجیتال و توکنهای Steam و Discord استفاده میشود.
Rust یک زبان برنامه نویسی برای سیستمهای مدرن است که memory safety, thread safety, and zero-cost abstractions را فراهم میکند. ویژگیها و مزایایمنحصر به فرد Rust نسبت به سایر زبانهای برنامه نویسی، آن را به گزینهای عالی برای ساخت سیستمهای با کارآیی بالا، ایمن و همزمان تبدیل کردهاست.
وبهوک webhook به یک فراخوانی (callback) از جنس HTTP در سمت سرور گفته میشود که توسط برنامهنویس تعیین میشود. این درخواست غالبا با متد POST بوده و در هنگام بروز یک رخداد خاص صدا زده میشود.
به عنوان مثال، فرض کنید یک مخزن روی سایت گیتهاب دارید و میخواهید هر بار که به آن مخزن push میکنید، به نحو خاصی به شما اطلاع داده شود (مثلا به حساب تلگرام شما یک پیام ارسال شود.) در این صورت، یک سرویس تحت وب ایجاد میکنید که هربار url مربوطهاش صدا زده شود، این رخداد را از طریق تلگرام به اطلاع شما برساند. سپس url سرویس تحت وب ایجاد شده را در بخش Webhook از تنظیمات مخزنتان اضافه میکنید.
این بدافزار، در یک تاکتیک نسبتاً غیر معمول، با تغییر کلاینت Discord نصب شده برای تزریق کد جاوا اسکریپت طراحی شده جهت دریافت اطلاعات از اپلیکیشن، به ماندگاری در سیستم دست می یابد.
این یافتهها همچنین از ظهور چندین نوع بدافزار دزد کالا مانند Luca، StrelaStealer، DarkCloud، WhiteSnake و Invicta Stealer است که برخی از آنها از طریق ایمیلهای هرزنامه و نسخههای جعلی نرمافزار محبوب منتشر میشوند به دست آمده است.
یکی دیگر از روند قابل توجه استفاده از ویدیوهای یوتیوب برای تبلیغ نرم افزارهای کرک شده از طریق کانال های در معرض خطر با میلیون ها مشترک است.
دادههای جمعآوریشده از سارقان میتواند از بسیاری جهات برای اپراتورها سودمند باشد و به آنها امکان سوءاستفاده از اهدافی مانند سرقت هویت، سود مالی، نقض دادهها، حملات تصاحب حسابها را میدهد.
اطلاعات دزدیده شده همچنین می تواند به سایر عوامل تهدید فروخته شود و برای حملات بعدی که از کمپین های هدفمند گرفته تا حملات باج افزار یا اخاذی را شامل می شود، به عنوان پایه ای محسوب شود.
یافته ها ادامه تکامل بدافزارهای استیلر را به یک تهدید مرگبارتر نشان میدهد، درست همانطور که بازار بدافزار به عنوان یک سرویس (MaaS) آنها را به راحتی در دسترس قرار میدهد و موانع ورود را برای مجرمان سایبری مشتاق کم می کند.
با وجود پیچیدگی روزافزون، اکوسیستم MaaS نیز در حالت نوسانی قرار گرفته است، با اقدامات مجری قانون که عاملان تهدید را بر آن داشته تا warez خود را در تلگرام بفروشند.