Một phần mềm độc hại đánh cắp thông tin lén lút mới có tên Bandit Stealer đã thu hút sự chú ý của các nhà nghiên cứu an ninh mạng vì khả năng nhắm mục tiêu vào nhiều trình duyệt web và ví tiền điện tử.
“Nó có khả năng mở rộng sang các nền tảng khác vì Bandit Stealer được phát triển bằng ngôn ngữ lập trình Go, có thể cho phép khả năng tương thích đa nền tảng”, Trend Micro cho biết trong một báo cáo hôm thứ Sáu.
Phần mềm độc hại hiện đang tập trung nhắm mục tiêu vào Windows bằng cách sử dụng công cụ dòng lệnh hợp pháp có tên runas.exe cho phép người dùng chạy các chương trình với tư cách là người dùng khác với các quyền khác nhau.
Mục tiêu là nâng cấp các đặc quyền và tự thực thi quyền truy cập quản trị, do đó bỏ qua các biện pháp bảo mật một cách hiệu quả để thu thập nhiều dữ liệu.
Điều đó nói rằng, các biện pháp giảm thiểu kiểm soát truy cập của Microsoft để ngăn chặn việc thực thi trái phép công cụ có nghĩa là nỗ lực chạy tệp nhị phân phần mềm độc hại khi quản trị viên yêu cầu cung cấp thông tin xác thực cần thiết.
“Bằng cách sử dụng lệnh runas.exe, người dùng có thể chạy các chương trình với tư cách quản trị viên hoặc bất kỳ tài khoản người dùng nào khác có đặc quyền phù hợp, cung cấp môi trường an toàn hơn để chạy các ứng dụng quan trọng hoặc thực hiện các tác vụ cấp hệ thống”, Trend Micro cho biết.
“Tiện ích này đặc biệt hữu ích trong trường hợp tài khoản người dùng hiện tại không có đủ đặc quyền để thực thi một lệnh hoặc chương trình cụ thể.”
Bandit Stealer kết hợp các kiểm tra để xác định xem nó đang chạy trong môi trường hộp cát hay ảo và chấm dứt danh sách các quy trình trong danh sách chặn để che giấu sự hiện diện của nó trên hệ thống bị nhiễm.
Nó cũng thiết lập sự bền bỉ bằng các sửa đổi Windows Registry trước khi bắt đầu các hoạt động thu thập dữ liệu bao gồm thu thập dữ liệu cá nhân và tài chính được lưu trữ trong trình duyệt web và ví tiền điện tử.
Bandit Stealer được cho là phát tán qua email lừa đảo có chứa tệp nhỏ giọt mở tệp đính kèm Microsoft Word dường như vô hại như một thủ đoạn đánh lạc hướng trong khi kích hoạt lây nhiễm trong nền.
Trend Micro cho biết họ cũng đã phát hiện một trình cài đặt giả mạo Heart Sender, một dịch vụ tự động hóa quá trình gửi email spam và tin nhắn SMS tới nhiều người nhận, được sử dụng để lừa người dùng khởi chạy phần mềm độc hại được nhúng.
Sự phát triển diễn ra khi công ty an ninh mạng phát hiện ra một kẻ đánh cắp thông tin dựa trên Rust nhắm mục tiêu vào Windows, sử dụng webhook GitHub Codespaces do kẻ tấn công kiểm soát làm kênh đánh cắp để lấy thông tin đăng nhập trình duyệt web, thẻ tín dụng, ví tiền điện tử và mã thông báo Steam và Discord của nạn nhân.
Phần mềm độc hại, theo một chiến thuật tương đối không phổ biến, đạt được sự tồn tại lâu dài trên hệ thống bằng cách sửa đổi ứng dụng khách Discord đã cài đặt để chèn mã javascript được thiết kế để thu thập thông tin từ ứng dụng.
Các phát hiện cũng theo sau sự xuất hiện của một số chủng phần mềm độc hại đánh cắp hàng hóa như Luca, StrelaStealer, DarkCloud, WhiteSnake và Invicta Stealer, một số trong số đó đã được phát hiện lan truyền qua email spam và các phiên bản lừa đảo của phần mềm phổ biến.
Một xu hướng đáng chú ý khác là việc sử dụng các video trên YouTube để quảng cáo phần mềm bẻ khóa thông qua các kênh bị xâm phạm với hàng triệu người đăng ký.
Dữ liệu được tích lũy từ những kẻ đánh cắp có thể mang lại lợi ích cho các nhà khai thác theo nhiều cách, cho phép họ khai thác các mục đích như đánh cắp danh tính, thu lợi tài chính, vi phạm dữ liệu, tấn công nhồi thông tin xác thực và chiếm đoạt tài khoản.
Thông tin bị đánh cắp cũng có thể được bán cho các tác nhân khác, làm nền tảng cho các cuộc tấn công tiếp theo có thể bao gồm từ các chiến dịch được nhắm mục tiêu đến các cuộc tấn công bằng mã độc tống tiền hoặc tống tiền.
Những phát triển này làm nổi bật sự phát triển liên tục của phần mềm độc hại đánh cắp thành một mối đe dọa nguy hiểm hơn, giống như thị trường phần mềm độc hại dưới dạng dịch vụ (MaaS) cung cấp chúng và hạ thấp các rào cản gia nhập đối với tội phạm mạng đầy tham vọng.
Thật vậy, dữ liệu do Đơn vị Chống Đe dọa của Secureworks (CTU) thu thập đã tiết lộ một “thị trường kẻ đánh cắp thông tin đang phát triển mạnh”, với khối lượng nhật ký bị đánh cắp trên các diễn đàn ngầm như Thị trường Nga tăng 670% trong khoảng thời gian từ tháng 6 năm 2021 đến tháng 5 năm 2023.
Công ty cho biết: “Thị trường Nga chào bán 5 triệu bản ghi, gấp khoảng 10 lần so với đối thủ diễn đàn gần nhất là 2easy”.
“Thị trường Nga được thiết lập tốt trong giới tội phạm mạng Nga và được sử dụng rộng rãi bởi các tác nhân đe dọa trên toàn thế giới. Thị trường Nga gần đây đã thêm nhật ký từ ba kẻ đánh cắp mới, điều này cho thấy rằng trang web đang tích cực thích ứng với bối cảnh tội phạm điện tử luôn thay đổi.”
Hệ sinh thái MaaS, mặc dù ngày càng phức tạp, cũng đang trong tình trạng thay đổi liên tục, với các hành động thực thi pháp luật khiến các tác nhân đe dọa bán hàng rong trên Telegram.
Don Smith, phó chủ tịch của Secureworks CTU, cho biết: “Những gì chúng ta đang thấy là toàn bộ nền kinh tế ngầm và cơ sở hạ tầng hỗ trợ được xây dựng xung quanh những kẻ đánh cắp thông tin, khiến cho những kẻ đe dọa có kỹ năng tương đối thấp không chỉ có thể tham gia mà còn có khả năng sinh lợi.
“Hành động phối hợp toàn cầu của cơ quan thực thi pháp luật đang có một số tác động, nhưng tội phạm mạng rất giỏi trong việc định hình lại lộ trình tiếp cận thị trường của chúng.”
