Über Phishing-E-Mails wird aktuell die Malware Bandit Stealer verbreitet. Eine angefügte Dropper-Datei löst dabei eine Infektionskette aus.
Die neue Schadsoftware Bandit Stealer dient dem Informationsdiebstahl. Sie ist darauf ausgerichtet, persönliche Daten sowie Bankdaten zu stehlen, die in Kryptowährungs-Wallets und Webbrowsern gespeichert sind. Zudem ist der Stealer bestrebt, sich der Erkennung zu entziehen.
Bandit Stealer zeigt sich als Wolf im Schafspelz
Die in den E-Mails enthalte Dropper-Datei ist getarnt als harmlos wirkender MS Word-Anhang. Dem, der sie anklickt, öffnet er eine harmlos wirkende Word-Datei und soll den User so in Sicherheit wiegen. Im Hintergrund löst sie jedoch eine Infektionskette aus. Zudem verbreitet sich Bandit Stealer über ein gefälschtes Installationsprogramm.
Derzeit zielt Bandit Stealer auf Windows-Geräte ab. Dabei hätte die Malware aber durchaus das Potenzial, seine Reichweite auch auf andere Betriebssysteme auszuweiten, sind sich die Cybersicherheitsforscher von Trend Micro sicher, die den Stealer aufspürten. Die Malware wurde mit der Programmiersprache Go entwickelt, was möglicherweise eine plattformübergreifende Kompatibilität ermöglicht.
Go-basierte Malware versucht, Erkennungsmechanismen zu umgehen
Bandit Stealer ist in der Lage zu prüfen, ob er in einer virtuellen Umgebung oder einer Sandbox ausgeführt wird. Er ist dann bestrebt, auf einer Liste stehende Prozesse im Zusammenhang mit Malware-Analysetools zu beenden, um seine Anwesenheit auf dem infizierten System zu verbergen.
Die dafür verwendeten Befehle sind jedoch Linux-spezifisch und greifen nicht unter Windows. Die Sicherheitsforscher spekulieren darum, es wäre wahrscheinlich, dass sich die Malware noch in der Entwicklung befindet oder an die Windows-Plattform angepasst wird.
Die Malware verwendet ein legitimes Befehlszeilentool namens runas.exe. Dies ist ein Befehlszeilen-Dienstprogramm in Windows-Betriebssystemen. Es ermöglicht Benutzern, bestimmte Programme oder Befehle mit anderen Benutzeranmeldeinformationen oder Berechtigungen als denen des aktuellen Benutzerkontos auszuführen.
Dieses Dienstprogramm sei besonders nützlich, wenn das aktuelle Benutzerkonto nicht über ausreichende Berechtigungen zum Ausführen eines bestimmten Befehls oder Programms verfügt, so die Sicherheitsexperten. Im Fall von Bandit Stealer geschieht dies mit der folgenden Befehlszeile:
runas /user:Administrator
Dieses Manöver soll es Bandit Stealer ermöglichen, sich selbst mit Administratorzugriff auszuführen und integrierte Sicherheitsmaßnahmen zu umgehen. Allerdings verhinderten die strengen Zugriffskontrollmaßnahmen von Microsoft eine unbefugte Ausführung bisher erfolgreich, so die Sicherheitsforscher von Trend Micro.
Bandit Stealer gewährleistet Diebstahl aus Wallets und Browsern
Konkret zielt Bandit Stealer auf Webbrowser-Anmeldeinformationen, Kreditkartendaten, Kryptowährungs-Wallets sowie Steam- und Discord-Token eines Opfers ab. Die Speicherung erfolgt dann in einer Datei mit dem Namen „ userinfo.txt “ im Ordner < C:\Benutzer\\AppData\Local\vicinfo >. Nach der Datensammlung sendet der Stealer die Datei an die Angreifer.
Eine dauerhafte Ausführung erzielt Bandit Stealer durch einen Registrierungseintrag für die automatische Ausführung. Es wird ein Autorun-Registrierungseintrag < HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run > mit dem Wertnamen „BANDIT STEALER“ erstellt, um sicherzustellen, dass die Malware jedes Mal ausgeführt wird, wenn das infizierte System startet oder neu startet.
Die Malware überprüft die Ordnerpfade des Browsers und der Kryptowährungen, um sich unbefugten Zugriff auf persönliche oder vertrauliche Informationen zu verschaffen und diese für finanzielle Zwecke auszunutzen. Darüber hinaus sucht die Malware nach bestimmten Browsererweiterungen, die mit Kryptowährungs-Wallets verknüpft sind.
Sicherheitsforscher warnen vor möglichen Schäden
Die Sicherheitsforscher von Trend Micro haben bisher keine aktiven Bedrohungsgruppen identifiziert, die mit dieser speziellen Malware in Zusammenhang stehen. Zudem liegen keine Hinweise darüber vor, wofür die Entwickler die gestohlenen Informationen verwendet haben, da sich die Malware noch im Anfangsstadium befindet.
Potenziell ließe sie sich für „Zwecke wie Identitätsdiebstahl, finanziellen Gewinn, Datenschutzverletzungen, Credential-Stuffing-Angriffe und Kontoübernahmen“ ausnutzen, so die Sicherheitsforscher.
Demgemäß bringt der Bandit Stealer erhebliche Risiken für seine Opfer mit sich. Die Malware kann schwerwiegende Schäden verursachen, darunter unbefugten Zugriff auf vertrauliche Informationen, Datendiebstahl, finanzielle Verluste durch die Kompromittierung von Kryptowährungs-Wallets, Datenschutzverletzungen und Systeminstabilität.
