Aktuell wird eine neue Schadsoftware namens Bandit Stealer über Phishing-E-Mails verbreitet. Der Stealer hat es auf persönliche und finanzielle Daten abgesehen die in Kryptowährungs-Wallets und Browsern gespeichert sind. Die Malware ist darauf ausgerichtet, sich der Erkennung zu entziehen und zeigt sich als harmloser MS Word-Anhang. Die Sicherheitsforscher von Trend Micro haben den Stealer aufgespürt und warnen vor den möglichen Folgen.
Harmloser MS Word-Anhang tarnt die Malware
Die Malware Bandit Stealer verbreitet sich über eine angehängte Dropper-Datei in Phishing-E-Mails. Die Datei tarnt sich als harmloser MS Word-Anhang und öffnet dem User eine scheinbar harmlose Datei. Im Hintergrund löst sie jedoch eine Infektionskette aus. Zudem verbreitet sich die Malware über ein gefälschtes Installationsprogramm. Derzeit zielt Bandit Stealer auf Windows-Geräte ab, hat aber das Potenzial, sich ebenfalls auf andere Betriebssysteme auszuweiten.
Plattformübergreifende Kompatibilität durch Programmiersprache Go
Die Malware wurde mit der Programmiersprache Go entwickelt was möglicherweise eine plattformübergreifende Kompatibilität ermöglicht. Bandit Stealer ist in der Lage zu prüfen – ob er in einer virtuellen Umgebung oder einer Sandbox ausgeführt wird. Er ist dann bestrebt, auf einer Liste stehende Prozesse im Zusammenhang mit Malware-Analysetools zu beenden um seine Anwesenheit auf dem infizierten System zu verbergen. Die dafür verwendeten Befehle sind jedoch Linux-spezifisch und greifen nicht unter Windows. Die Sicherheitsforscher spekulieren, dass die Malware noch in der Entwicklung ist oder an die Windows-Plattform angepasst wird.
Runas.exe ermöglicht unbefugten Zugriff auf das System
Die Malware verwendet ein legitimes Befehlszeilentool namens runas.exe um sich selbst mit Administratorzugriff auszuführen und integrierte Sicherheitsmaßnahmen zu umgehen. Allerdings verhinderten die Zugriffskontrollmaßnahmen von Microsoft bisher eine unbefugte Ausführung der Malware. Bandit Stealer ist darauf ausgelegt, persönliche Daten und auch Bankdaten zu stehlen die in Kryptowährungs-Wallets und Webbrowsern gespeichert sind. Die gestohlenen Daten werden in einer Datei namens "userinfo.txt" im Ordner <C:\Benutzer\\AppData\Local\vicinfo> gespeichert und an die Angreifer gesendet.
Automatische Ausführung durch Autorun-Registrierungseintrag
Um eine dauerhafte Ausführung zu gewährleisten, erstellt die Malware einen Autorun-Registrierungseintrag mit dem Wertnamen "BANDIT STEALER". Dieser Eintrag befindet sich im Ordner <HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run> und sorgt dafür. Dass Malware jedes Mal ausgeführt wird – wenn das infizierte System startet oder neu gestartet wird. Bandit Stealer überprüft die Ordnerpfade des Browsers und der Kryptowährungen um sich unbefugten Zugriff auf persönliche oder vertrauliche Informationen zu verschaffen und diese für finanzielle Zwecke auszunutzen.
Schwere Folgen für Opfer möglich
Die Malware kann schwerwiegende Schäden verursachen, darunter unbefugten Zugriff auf vertrauliche Informationen, Datendiebstahl, finanzielle Verluste durch die Kompromittierung von Kryptowährungs-Wallets, Datenschutzverletzungen und Systeminstabilität. Die Sicherheitsforscher von Trend Micro warnen vor möglichen Schäden und darauf, dass Bandit Stealer noch im Anfangsstadium ist und potenziell für Identitätsdiebstahl, finanziellen Gewinn, Datenschutzverletzungen, Credential-Stuffing-Angriffe und Kontoübernahmen genutzt werden kann. Opfer sollten deshalb umgehend ihre Systeme auf Malware überprüfen und gegebenenfalls bereinigen.
Kommentare