针对 Web 浏览器和加密货币钱包的新型隐身强盗窃取器插图

最近,网络安全领域的研究人员发现了一种新型的隐蔽信息窃取恶意软件,名为 Bandit Stealer。该恶意软件因其针对众多网络浏览器和加密货币钱包而备受关注。

针对 Web 浏览器和加密货币钱包的新型隐身强盗窃取器插图1

使用 Go 编程语言开发

据趋势科技在周五的一份报告中指出,Bandit Stealer 是使用 Go 编程语言开发的,可能允许跨平台兼容性,因此它有可能扩展到其他平台。

针对 Windows 的运行

目前,该恶意软件专注于以 Windows 为目标,通过使用名为 runas.exe 的合法命令行工具进行自身的提升权限并收集大量数据。使用 runas.exe 命令,用户可以以管理员身份或任何其他具有适当权限的用户帐户运行程序,从而为运行关键应用程序提供更安全的环境,或执行系统级任务。

隐蔽性强

Bandit Stealer 结合检查以确定它是在沙箱还是虚拟环境中运行,并终止列入黑名单的进程列表以隐藏它在受感染系统上的存在。它还通过修改 Windows 注册表来建立持久性,然后再开始其数据收集活动。

传播途径

该恶意软件据说是通过网络钓鱼电子邮件分发的,其中包含一个投放文件,该文件打开一个看似无害的 Microsoft Word 附件作为分散注意力的手段,同时在后台触发感染。

窃取恶意软件的发展趋势

除了 Bandit Stealer,还出现了 Luca、StrelaStealer、DarkCloud、WhiteSnake 和 Invicta Stealer 等商品窃取恶意软件。这些恶意软件的传播途径也在不断变化,从垃圾邮件到社交网络,甚至是通过 YouTube 视频传播。

从窃取者那里收集的数据可以在许多方面使运营商受益,但也会造成严重的损失。被盗信息可以被用于身份盗窃、经济利益、数据泄露、撞库攻击和帐户接管等目的,并可能被出售给其他攻击者,作为后续攻击的基础。

信息窃取市场

Secureworks Counter Threat Unit (CTU) 收集的数据显示,“蓬勃发展的信息窃取市场”正在崛起。根据该公司披露的数据,俄罗斯市场上被盗日志的数量在 2021 年 6 月至 2023 年 5 月期间猛增了 670%。

尽管 MaaS 生态系统越来越复杂,执法行动促使威胁行为者在 Telegram 上兜售他们的软件。这显示出窃取恶意软件不断演变为更致命的威胁。