Le malware Bandit Stealer est actuellement distribué via des e-mails de phishing. Un fichier compte-gouttes attaché déclenche une chaîne d’infection.

Le nouveau malware Bandit Stealer est conçu pour voler des informations. Il est conçu pour voler des informations personnelles et bancaires stockées dans des portefeuilles de crypto-monnaie et des navigateurs Web. De plus, le voleur s’efforce d’échapper à la détection.

Bandit Stealer se montre comme un loup déguisé en mouton

Le fichier compte-gouttes contenu dans les e-mails est déguisé en pièce jointe MS Word apparemment inoffensive. Celui qui clique dessus ouvre un fichier Word apparemment inoffensif et est censé rassurer l’utilisateur. En arrière-plan, cependant, il déclenche une chaîne d’infection. Bandit Stealer est également distribué à l’aide d’un faux installateur.

Actuellement, Bandit Stealer cible les appareils Windows. Cependant, les chercheurs en cybersécurité de Trend Micro qui ont traqué le voleur sont certains que le logiciel malveillant a le potentiel d’étendre sa portée à d’autres systèmes d’exploitation. Le logiciel malveillant a été développé à l’aide du langage de programmation Go, qui permet potentiellement une compatibilité multiplateforme.

Les logiciels malveillants basés sur Go tentent de contourner les mécanismes de détection

Bandit Stealer est capable de vérifier s’il s’exécute dans un environnement virtuel ou dans un bac à sable. Il vise ensuite à tuer les processus répertoriés liés aux outils d’analyse des logiciels malveillants pour masquer sa présence sur le système infecté.

Cependant, les commandes utilisées pour cela sont spécifiques à Linux et ne fonctionnent pas sous Windows. Les chercheurs en sécurité pensent qu’il est probable que le logiciel malveillant soit encore en cours de développement ou soit en cours d’adaptation à la plate-forme Windows.

Le logiciel malveillant utilise un outil de ligne de commande légitime appelé runas.exe. Il s’agit d’un utilitaire de ligne de commande dans les systèmes d’exploitation Windows. Il permet aux utilisateurs d’exécuter certains programmes ou commandes avec des informations d’identification ou des privilèges différents de ceux du compte d’utilisateur actuel.

Selon les chercheurs en sécurité, cet utilitaire est particulièrement utile lorsque le compte d’utilisateur actuel ne dispose pas de privilèges suffisants pour exécuter une commande ou un programme particulier. Dans le cas de Bandit Stealer, cela se fait avec la ligne de commande suivante :

runas /user:Administrateur

Cette manœuvre est conçue pour permettre à Bandit Stealer de s’exécuter avec un accès administrateur et de contourner les mesures de sécurité intégrées. Cependant, les mesures strictes de contrôle d’accès de Microsoft ont jusqu’à présent réussi à empêcher les exécutions non autorisées, selon les chercheurs en sécurité de Trend Micro.

Bandit Stealer assure le vol des portefeuilles et des navigateurs

Plus précisément, Bandit Stealer cible les informations d’identification du navigateur Web, les détails de la carte de crédit, les portefeuilles de crypto-monnaie et les jetons Steam et Discord d’une victime. Le stockage a alors lieu dans un fichier nommé « userinfo.txt » dans le dossier < C:Users\AppDataLocalvicinfo >. Après avoir collecté les données, le voleur envoie le fichier aux attaquants.

Bandit Stealer réalise une exécution persistante via une entrée de registre pour une exécution automatique. Il crée une entrée de registre à exécution automatique < HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun > avec le nom de valeur « BANDIT STEALER » pour garantir que le logiciel malveillant s’exécute à chaque fois que le système infecté démarre ou redémarre.

Le logiciel malveillant vérifie les chemins des navigateurs et des dossiers de crypto-monnaie pour obtenir un accès non autorisé à des informations personnelles ou confidentielles et les exploiter à des fins financières. De plus, le logiciel malveillant recherche des extensions de navigateur spécifiques associées aux portefeuilles de crypto-monnaie.

Des chercheurs en sécurité mettent en garde contre d’éventuels dommages

Les chercheurs en sécurité de Trend Micro n’ont pas encore identifié de groupes de menaces actifs liés à ce logiciel malveillant particulier. De plus, rien n’indique à quoi les développeurs ont utilisé les informations volées, car le logiciel malveillant en est encore à ses balbutiements.

Potentiellement, elle pourrait être pour « Des fins telles que le vol d’identité, le gain financier, les violations de données, les attaques de bourrage d’informations d’identification et les prises de contrôle de compte » exploiter, selon les chercheurs en sécurité.

En conséquence, le Bandit Stealer présente des risques importants pour ses victimes. Le logiciel malveillant peut causer de graves dommages, notamment l’accès non autorisé à des informations confidentielles, le vol de données, la perte financière due à la compromission du portefeuille de crypto-monnaie, les atteintes à la vie privée et l’instabilité du système.