Un nouveau malware voleur d’informations furtif appelé Voleur de bandits a attiré l’attention des chercheurs en cybersécurité pour sa capacité à cibler de nombreux navigateurs Web et portefeuilles de crypto-monnaie.
« Il a le potentiel de s’étendre à d’autres plates-formes car Bandit Stealer a été développé à l’aide du langage de programmation Go, permettant éventuellement une compatibilité multiplateforme », a déclaré Trend Micro. a dit dans un rapport de vendredi.
Le logiciel malveillant se concentre actuellement sur le ciblage de Windows en utilisant un outil de ligne de commande légitime appelé runas.exe qui permet aux utilisateurs d’exécuter des programmes en tant qu’un autre utilisateur avec des autorisations différentes.
L’objectif est d’élever les privilèges et de s’exécuter avec un accès administratif, contournant ainsi efficacement les mesures de sécurité pour récolter de larges pans de données.
Cela dit, les mesures d’atténuation du contrôle d’accès de Microsoft pour empêcher l’exécution non autorisée de l’outil signifient qu’une tentative d’exécution du binaire malveillant en tant qu’administrateur nécessite de fournir les informations d’identification nécessaires.
« En utilisant la commande runas.exe, les utilisateurs peuvent exécuter des programmes en tant qu’administrateur ou tout autre compte d’utilisateur avec les privilèges appropriés, fournir un environnement plus sécurisé pour exécuter des applications critiques ou effectuer des tâches au niveau du système », a déclaré Trend Micro.
« Cet utilitaire est particulièrement utile dans les situations où le compte d’utilisateur actuel ne dispose pas de privilèges suffisants pour exécuter une commande ou un programme spécifique. »
Bandit Stealer intègre des contrôles pour déterminer s’il s’exécute dans un bac à sable ou un environnement virtuel et met fin à une liste de processus bloqués pour dissimuler sa présence sur le système infecté.
Il établit également la persistance au moyen de modifications du registre Windows avant de commencer ses activités de collecte de données, notamment la collecte de données personnelles et financières stockées dans les navigateurs Web et les portefeuilles cryptographiques.
On dit que Bandit Stealer est distribué via des e-mails de phishing contenant un fichier compte-gouttes qui ouvre une pièce jointe Microsoft Word apparemment inoffensive comme manœuvre de distraction tout en déclenchant l’infection en arrière-plan.
Trend Micro a déclaré avoir également détecté un faux programme d’installation de Heart Sender, un service qui automatise le processus d’envoi de spams et de SMS à de nombreux destinataires, qui est utilisé pour inciter les utilisateurs à lancer le logiciel malveillant intégré.
Le développement intervient alors que la société de cybersécurité a découvert un voleur d’informations basé sur Rust ciblant Windows qui leviers un webhook GitHub Codespaces contrôlé par l’attaquant en tant que canal d’exfiltration pour obtenir les informations d’identification du navigateur Web, les cartes de crédit, les portefeuilles de crypto-monnaie et les jetons Steam et Discord d’une victime.
Le logiciel malveillant, dans une tactique relativement rare, atteint la persévérance sur le système en modifiant le client Discord installé pour injecter du code JavaScript conçu pour capturer les informations de l’application.
Les résultats font également suite à l’émergence de plusieurs souches de logiciels malveillants voleurs de marchandises comme LucasStrelaStealer, Nuage sombre, Serpent blancet Invicta Voleurdont certains ont été observé se propager via des spams et versions frauduleuses de logiciels populaires.
Une autre tendance notable a été l’utilisation de Youtube vidéos pour faire la publicité de logiciels piratés via des canaux compromis avec des millions d’abonnés.
Les données recueillies auprès des voleurs peuvent profiter aux opérateurs de plusieurs manières, leur permettant d’exploiter des objectifs tels que le vol d’identité, le gain financier, les violations de données, les attaques de bourrage d’informations d’identification et les prises de contrôle de compte.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Les informations volées peuvent également être vendues à d’autres acteurs, servant de base à des attaques ultérieures pouvant aller de campagnes ciblées à des rançongiciels ou à des attaques d’extorsion.
Ces développements mettent en évidence l’évolution continue des logiciels malveillants voleurs vers une menace plus mortelle, tout comme le marché des logiciels malveillants en tant que service (MaaS) les rend facilement disponibles et abaisse les barrières à l’entrée pour les cybercriminels en herbe.
En effet, les données recueillies par Secureworks Counter Threat Unit (CTU) ont révélé un « marché florissant des voleurs d’informations », le volume de journaux volés sur des forums clandestins comme Russian Market enregistrant un bond de 670% entre juin 2021 et mai 2023.
« Russian Market propose cinq millions de grumes à vendre, soit environ dix fois plus que son rival le plus proche sur le forum, 2easy », a déclaré la société.
« Le marché russe est bien établi parmi les cybercriminels russes et largement utilisé par les acteurs de la menace dans le monde entier. Le marché russe a récemment ajouté les journaux de trois nouveaux voleurs, ce qui suggère que le site s’adapte activement au paysage en constante évolution de la criminalité électronique.
L’écosystème MaaS, malgré la sophistication croissante, a également été dans un état de flux, avec des actions d’application de la loi incitant les acteurs de la menace à colporter leur warez sur Telegram.
« Ce que nous voyons, c’est toute une économie souterraine et une infrastructure de soutien construite autour des voleurs d’informations, ce qui rend non seulement possible, mais aussi potentiellement lucratif, l’implication d’acteurs malveillants relativement peu qualifiés », a déclaré Don Smith, vice-président de Secureworks CTU, a dit.
« L’action mondiale coordonnée des forces de l’ordre a un certain impact, mais les cybercriminels sont capables de remodeler leurs voies d’accès au marché. »