发现针对网络浏览器和电子钱包窃取用户信息的新恶意软件

全球最大的网络安全和防病毒软件提供商之一趋势科技于 5 月 26 日发布的一份新报告显示，Bandit Stealer 恶意软件有可能扩展到其他平台，因为它是使用 Go 编程语言开发的，可以实现跨平台兼容性。

插图照片。

据安全专家介绍，Bandit Stealer 恶意软件目前专注于利用名为 runas.exe 的合法命令行工具攻击 Windows 操作系统，该工具允许用户以具有不同权限的不同用户身份运行程序。

该恶意软件的目标是找到一种方法来提升权限并以管理员权限执行自身，从而有效绕过操作系统的安全措施来收集大量用户数据。

这表明，当管理员被要求提供凭据时，需要采取措施缓解微软的访问控制，以防止未经授权执行恶意软件。

据趋势科技介绍，通过使用runas.exe命令，用户可以以管理员或任何其他具有适当权限的用户帐户身份运行程序，从而为运行关键应用程序或执行系统级任务提供更安全的环境。

趋势科技补充道：“当当前用户帐户没有足够权限执行特定命令或程序时，此实用程序特别有用。”

Bandit Stealer 恶意软件使用检查来确定它是否在隔离的受保护环境（也称为沙箱）中运行，以尝试绕过并隐藏其在受感染系统上的存在。

该恶意软件还试图修改 Windows 注册表数据库，然后启动数据收集活动，包括收集存储在用户的网络浏览器和数字钱包中的个人和财务数据。

据信，Bandit Stealer 是通过包含钓鱼文件的钓鱼电子邮件进行传播的，钓鱼文件包含一个看似无害的 Microsoft Word 附件病毒，目的是分散用户的注意力并触发感染。

安全公司趋势科技表示，它还发现了 Heart Sender 的虚假安装程序，该服务可以自动向多个收件人发送垃圾邮件和短信，用于诱骗用户启动嵌入的恶意软件。

此前，这家网络安全公司发现了一个针对 Windows 操作系统的基于 Rust 的信息窃取程序，该程序使用攻击者控制的 GitHub Codespaces 云服务帐户作为盗窃渠道，窃取受害者的网络浏览器凭据、信用卡、加密货币钱包以及 Steam 和 Discord 聊天应用程序上的代币。

该恶意软件使用了一种相对不寻常的策略，通过修改已安装的 Discord 客户端来注入旨在从应用程序中收集信息的 JavaScript 代码，从而实现系统持久性。

这些新发现是在 Luca、StrelaStealer、DarkCloud、WhiteSnake 和 Invicta Stealer 等几种恶意软件出现之后出现的，其中一些被发现通过垃圾邮件和流行软件的网络钓鱼版本传播。

另一个值得注意的趋势是利用 YouTube 视频通过拥有数百万订阅者的受感染渠道来推广破解软件。

窃贼所收集的数据可使运营商以多种方式受益，使他们能够实现身份盗窃、经济利益、数据泄露、凭证填充攻击和账户接管等目的。

被盗信息还可以出售给其他行为者，作为进一步攻击的基础，这些攻击包括有针对性的活动和勒索软件攻击。

这些发现凸显了数据窃取软件不断演变为更危险的威胁，类似于恶意软件即服务 (MaaS) 市场。

美国电脑公司戴尔公司SecureWorks反威胁小组（CTU）网络安全响应部门的数据显示，全球信息盗窃犯罪市场增长强劲，其中仅俄罗斯市场在2021年6月至2023年5月期间增长了670%。

“我们看到的是围绕用于收集个人信息的间谍软件构建的整个地下经济体系及其配套基础设施，”CTU 副总裁唐·史密斯 (Don Smith) 表示。“执法部门的全球协调行动正在产生一些重大影响，但网络犯罪分子非常擅长重塑他们的市场路径。”

潘文和