Обнаружено новое вредоносное ПО, атакующее веб-браузеры и электронные кошельки с целью кражи информации пользователей.

В новом отчете, опубликованном 26 мая компанией Trend Micro — одним из крупнейших в мире поставщиков программного обеспечения для кибербезопасности и антивирусной защиты, — показано, что вредоносная программа Bandit Stealer имеет потенциал для распространения на другие платформы, поскольку она разработана на языке программирования Go, что обеспечивает кроссплатформенную совместимость.

Иллюстрация фото.

По словам экспертов по безопасности, вредоносная программа Bandit Stealer в настоящее время сосредоточена на операционной системе Windows, используя легитимный инструмент командной строки runas.exe, который позволяет пользователям запускать программы от имени другого пользователя с другими разрешениями.

Цель этой вредоносной программы — найти способ повысить привилегии и запустить себя с правами администратора, эффективно обходя меры безопасности операционной системы и собирая большой объем пользовательских данных.

Это говорит о том, что необходимы меры по смягчению контроля доступа Microsoft для предотвращения несанкционированного запуска вредоносного ПО, когда администраторов просят предоставить учетные данные.

По данным Trend Micro, с помощью команды runas.exe пользователи могут запускать программы от имени администратора или любой другой учетной записи пользователя с соответствующими привилегиями, обеспечивая более безопасную среду для запуска критически важных приложений или выполнения задач системного уровня.

«Эта утилита особенно полезна в случаях, когда текущая учетная запись пользователя не имеет достаточных прав для выполнения определенной команды или программы», — добавили в Trend Micro.

Вредоносная программа Bandit Stealer использует проверки, чтобы определить, запущена ли она в изолированной защищенной среде (также известной как «песочница»), чтобы попытаться обойти и скрыть свое присутствие в зараженной системе.

Вредоносное ПО также пытается изменить базу данных реестра Windows, прежде чем приступить к сбору данных, включая сбор личных и финансовых данных, хранящихся в веб-браузере и цифровом кошельке пользователя.

Предполагается, что Bandit Stealer распространяется через фишинговые письма, содержащие фишинговый файл, который содержит, на первый взгляд, безобидный вирус в виде вложения к Microsoft Word, что является уловкой, призванной отвлечь пользователей и одновременно вызвать заражение.

Компания Trend Micro, занимающаяся безопасностью, заявила, что также обнаружила поддельный установщик Heart Sender — сервиса, автоматизирующего процесс отправки спам-писем и SMS-сообщений нескольким получателям, который используется, чтобы обманом заставить пользователей запустить встроенное вредоносное ПО.

Этот шаг был предпринят после того, как компания по кибербезопасности обнаружила похитителя информации на основе Rust, нацеленного на операционные системы Windows, который использовал подконтрольную злоумышленнику учетную запись облачного сервиса GitHub Codespaces в качестве канала кражи для получения учетных данных веб-браузеров жертв, кредитных карт, криптовалютных кошельков и токенов в чат-приложениях Steam и Discord.

Вредоносное ПО использует довольно необычную тактику, обеспечивая себе стойкость в системе путем изменения установленного клиента Discord для внедрения кода JavaScript, предназначенного для сбора информации из приложения.

Эти новые данные появились после появления нескольких видов вредоносного ПО, таких как Luca, StrelaStealer, DarkCloud, WhiteSnake и Invicta Stealer, некоторые из которых распространяются через спам-письма и фишинговые версии популярного программного обеспечения.

Еще одной заметной тенденцией является использование видеороликов YouTube для продвижения взломанного программного обеспечения через скомпрометированные каналы с миллионами подписчиков.

Собранные ворами данные могут принести пользу операторам различными способами, позволяя им использовать их в таких целях, как кража личных данных, получение финансовой выгоды, утечки данных, атаки с подменой учетных данных и захват учетных записей.

Похищенная информация также может быть продана другим лицам, служа основой для дальнейших атак, которые могут варьироваться от целевых кампаний до атак программ-вымогателей.

Эти результаты подчеркивают продолжающуюся эволюцию программного обеспечения для кражи данных в более опасную угрозу, аналогичную рынку вредоносных программ как услуг (MaaS).

Данные подразделения реагирования на киберугрозы SecureWorks Counter Threat Unit (CTU) компании Dell показывают, что рынок преступлений, связанных с кражей информации, в мире стремительно растет, при этом только российский рынок увеличился на 670% в период с июня 2021 года по май 2023 года.

«Мы наблюдаем целую подпольную экономику и инфраструктуру, построенную вокруг шпионского ПО, используемого для сбора персональных данных», — заявил Дон Смит, вице-президент CTU. «Скоординированные действия правоохранительных органов по всему миру оказывают значительное влияние, но киберпреступники умело перекраивают свои каналы проникновения на рынок».