بدافزار سرقت اطلاعات مخفی جدید به نام Bandit Stealer

بدافزار سرقت اطلاعات مخفی جدید به نام Bandit Stealer توجه محققان امنیت سایبری را به دلیل توانایی آن در هدف قرار دادن تعداد زیادی مرورگر وب و کیف پول های ارزهای دیجیتال به خود جلب کرده است.

Bandit Stealer یک بدافزار نوظهور برای سرقت اطلاعات است که به سرعت در حال گسترش می باشد. زیرا مرورگرها و کیف پول‌های ارزهای دیجیتال متعددی را هدف قرار می‌دهد و در عین حال از شناسایی فرار می‌کند.

بدافزار Bandit Stealer این پتانسیل را دارد که به پلتفرم های دیگر گسترش یابد . زیرا Bandit Stealer با استفاده از زبان برنامه نویسی Go توسعه داده شده است و احتمالاً امکان سازگاری بین پلتفرم ها را فراهم می کند.

استیلر ها Stealer ، نوعی کیلاگر پیشرفته هستند که هدف ان ها دریافت اطلاعات حساس یک سیستم مانند پسورد های ذخیره شده ان است . این پسورد های ذخیره شده به طور مثال میتواند در مرورگر ذخیره شده باشد که هکر با استفاده از STEALER ها ان را استخراج میکنند استیلر ها دو دسته دارند   STEALER هایی که اطلاعات را به سروری دیگری ارسال میکنند و STEALER هایی که اطلاعات را به شخص در همان سیستم نمایش میدهند

این بدافزار در حال حاضر با استفاده از یک command-line tool قانونی ، به نام runas.exe که به کاربران اجازه می دهد برنامه ها را به عنوان کاربر دیگری با مجوزهای مختلف اجرا کنند، روی هدف قرار دادن ویندوز متمرکز شده است.

در کل، CLI tools در ری‌اکت برای ایجاد، توسعه و مدیریت برنامه‌های ری‌اکت استفاده می‌شوند و با استفاده از دستورات خط فرمان، می‌توانند فرایند توسعه را ساده‌تر و موثرتر کنند.
هدف این است که امتیازات را افزایش داده و خود را با دسترسی اداری اجرا کند، در نتیجه به طور مؤثر اقدامات امنیتی برای جمع آوری داده های گسترده را دور بزند.

با این اوصاف، کاهش کنترل دسترسی مایکروسافت برای جلوگیری از اجرای غیرمجاز ابزار به معنای تلاش برای اجرای باینری بدافزار به عنوان یک مدیر مستلزم ارائه اعتبار لازم است.

یک متخصص امنیت شبکه گفت: «با استفاده از دستور runas.exe، کاربران می‌توانند برنامه‌ها را به‌عنوان مدیر یا هر حساب کاربری دیگری با امتیازات مناسب اجرا کنند، محیط امن‌تری را برای اجرای برنامه‌های مهم فراهم کنند یا وظایف سطح سیستم را انجام دهند».

“این ابزار به ویژه در شرایطی مفید است که حساب کاربری فعلی از امتیازات کافی برای اجرای یک دستور یا برنامه خاص برخوردار نیست.”

Bandit Stealer ، گزینه های لازم را برای جلوگیری از شناسایی اجرای خود در یک sandbox یا محیط مجازی و همینطور سیستم آلوده و بلاک لیست ها در خود گنجانده است.

همچنین قبل از شروع فعالیت‌های جمع‌آوری داده‌ها ،که شامل جمع‌آوری داده‌های شخصی و مالی ذخیره‌شده در مرورگرهای وب و کیف پول‌های کریپتو می‌شود، با استفاده از تغییرات رجیستری ویندوز، ماندگاری خود را تثبیت می‌کند.

گفته می شود که Bandit Stealer از طریق ایمیل های فیشینگ حاوی یک فایل دراپر توزیع می شود.  پیوست ایمیل فیشینگ شامل یک فایل به ظاهر بی ضرر مایکروسافت ورد است که حواس کاربر را پرت می کند و در عین حال باعث ایجاد آلودگی در پس زمینه می شود.

در این خبر آمده است که سرویسی که فرآیند ارسال ایمیل های هرزنامه و پیام های SMS فیک را به گیرندگان متعدد به صورت خودکار راه می اندازد، که برای فریب کاربران برای راه اندازی بدافزار تعبیه شده استفاده می شود را شناسایی کرده اند.

زمانی که شرکت امنیت سایبری یک سارق اطلاعات ، مبتنی بر زبان برنامه نویسی Rust درحالی که ویندوز را هدف قرار داده است را کشف کند . شروع به توسعه خدمات امنیتی در این ارتباط می کند. طی بررسیها از یک وب‌ هوک GitHub Codespaces که توسط مهاجم کنترل می‌شود به‌عنوان یک کانال نفوذ برای دریافت اعتبار مرورگر وب قربانی، کارت‌های اعتباری، کیف پول‌های ارزهای دیجیتال و توکن‌های Steam و Discord استفاده می‌شود.

Rust یک زبان برنامه نویسی برای سیستم‌های مدرن است که memory safety, thread safety, and zero-cost abstractions را فراهم می‌کند. ویژگی‌ها و مزایای
منحصر به فرد Rust نسبت به سایر زبان‌های برنامه نویسی، آن را به گزینه‌ای عالی برای ساخت سیستم‌های با کارآیی بالا، ایمن و همزمان تبدیل کرده‌است.

وب‌هوک webhook به یک فراخوانی (callback) از جنس HTTP در سمت سرور گفته می‌شود که توسط برنامه‌نویس تعیین می‌شود. این درخواست غالبا با متد POST بوده و در هنگام بروز یک رخداد خاص صدا زده می‌شود.

به عنوان مثال، فرض کنید یک مخزن روی سایت گیت‌هاب دارید و می‌خواهید هر بار که به آن مخزن push می‌کنید، به نحو خاصی به شما اطلاع داده شود (مثلا به حساب تلگرام شما یک پیام ارسال شود.) در این صورت، یک سرویس تحت وب ایجاد می‌کنید که هربار url مربوطه‌اش صدا زده شود، این رخداد را از طریق تلگرام به اطلاع شما برساند. سپس url سرویس تحت وب ایجاد شده را در بخش Webhook از تنظیمات مخزن‌تان اضافه می‌کنید.

این بدافزار، در یک تاکتیک نسبتاً غیر معمول، با تغییر کلاینت Discord نصب شده برای تزریق کد جاوا اسکریپت طراحی شده جهت دریافت اطلاعات از اپلیکیشن، به ماندگاری در سیستم دست می یابد.

این یافته‌ها همچنین از ظهور چندین نوع بدافزار دزد کالا مانند Luca، StrelaStealer، DarkCloud، WhiteSnake و Invicta Stealer است که برخی از آنها از طریق ایمیل‌های هرزنامه و نسخه‌های جعلی نرم‌افزار محبوب منتشر می‌شوند به دست آمده است.

یکی دیگر از روند قابل توجه استفاده از ویدیوهای یوتیوب برای تبلیغ نرم افزارهای کرک شده از طریق کانال های در معرض خطر با میلیون ها مشترک است.

داده‌های جمع‌آوری‌شده از سارقان می‌تواند از بسیاری جهات برای اپراتورها سودمند باشد و به آنها امکان سوءاستفاده از اهدافی مانند سرقت هویت، سود مالی، نقض داده‌ها، حملات  تصاحب حساب‌ها را می‌دهد.

اطلاعات دزدیده شده همچنین می تواند به سایر عوامل تهدید فروخته شود و  برای حملات بعدی که از کمپین های هدفمند گرفته تا حملات باج افزار یا اخاذی را شامل می شود، به عنوان پایه ای محسوب شود.

یافته ها ادامه تکامل بدافزارهای استیلر را به یک تهدید مرگبارتر نشان می‌دهد، درست همانطور که بازار بدافزار به عنوان یک سرویس (MaaS) آنها را به راحتی در دسترس قرار می‌دهد و موانع  ورود را برای مجرمان سایبری مشتاق کم می‌ کند.

با وجود پیچیدگی روزافزون، اکوسیستم MaaS نیز در حالت نوسانی قرار گرفته است، با اقدامات مجری قانون که عاملان تهدید را بر آن داشته تا warez خود را در تلگرام بفروشند.