发现一种针对网络浏览器和电子钱包的新型恶意软件，旨在窃取用户信息。

全球最大的网络安全和防病毒软件提供商之一趋势科技于 5 月 26 日发布的一份新报告显示，Bandit Stealer 恶意软件有可能扩展到其他平台，因为它使用 Go 编程语言开发，可以实现跨平台兼容性。

插图照片。

据安全专家称，Bandit Stealer恶意软件目前正专注于攻击Windows操作系统，它利用名为runas.exe的合法命令行工具，允许用户以不同用户身份和不同权限运行程序。

该恶意软件的目标是找到提升权限的方法，并以管理员身份运行自身，从而有效地绕过操作系统的安全措施，收集大量用户数据。

这表明，当要求管理员提供凭据时，需要采取措施来缓解微软的访问控制，以防止未经授权的恶意软件执行。

据趋势科技称，通过使用 runas.exe 命令，用户可以以管理员身份或任何其他具有适当权限的用户帐户运行程序，从而为运行关键应用程序或执行系统级任务提供更安全的环境。

“当当前用户帐户没有足够的权限来执行特定命令或程序时，此实用程序尤其有用，”趋势科技补充道。

Bandit Stealer恶意软件会进行检查，以确定它是否在隔离的、受保护的环境（也称为沙箱）中运行，从而试图绕过并隐藏其在受感染系统上的存在。

该恶意软件还会尝试修改 Windows 注册表数据库，然后再启动数据收集活动，包括收集存储在用户网络浏览器和数字钱包中的个人和财务数据。

据信 Bandit Stealer 是通过包含钓鱼文件的钓鱼电子邮件传播的，该钓鱼文件包含一个看似无害的 Microsoft Word 附件病毒，以此分散用户的注意力，同时触发感染。

安全公司趋势科技表示，他们还发现了一个名为“Heart Sender”的虚假安装程序。“Heart Sender”是一项可以自动向多个收件人发送垃圾邮件和短信的服务，该程序被用来诱骗用户启动嵌入的恶意软件。

此前，这家网络安全公司发现了一个基于 Rust 的信息窃取程序，该程序以 Windows 操作系统为目标，利用攻击者控制的 GitHub Codespaces 云服务帐户作为窃取渠道，窃取受害者的网络浏览器凭据、信用卡、加密货币钱包以及 Steam 和 Discord 聊天应用程序上的代币。

该恶意软件采用了一种相对不寻常的策略，通过修改已安装的 Discord 客户端来注入 JavaScript 代码，从而实现对系统的持久性，该代码旨在从应用程序中收集信息。

这些新发现是在 Luca、StrelaStealer、DarkCloud、WhiteSnake 和 Invicta Stealer 等几种恶意软件出现之后做出的，其中一些恶意软件被发现通过垃圾邮件和流行软件的网络钓鱼版本传播。

另一个值得注意的趋势是利用 YouTube 视频，通过拥有数百万订阅者的被入侵频道来推广破解软件。

窃贼收集的数据可以从多方面使运营者受益，使他们能够利用这些数据进行身份盗窃、获取经济利益、数据泄露、撞库攻击和账户接管等活动。

被盗信息还可以出售给其他攻击者，成为进一步攻击的基础，这些攻击的范围从定向攻击到勒索软件攻击。

这些发现凸显了数据窃取软件不断演变为更危险的威胁，类似于恶意软件即服务 (MaaS) 市场。

美国计算机公司戴尔的 SecureWorks 反威胁部门 (CTU) 网络安全响应部门的数据显示，全球信息盗窃犯罪市场正在强劲增长，其中仅俄罗斯市场在 2021 年 6 月至 2023 年 5 月期间就增长了 670%。

“我们看到的是一个围绕间谍软件构建的庞大地下经济体系和配套基础设施，这些间谍软件用于收集个人信息，”反恐部门副总裁唐·史密斯说。“执法部门的全球协调行动正在产生一些显著影响，但网络犯罪分子非常擅长改变他们的市场渠道。”