Trend Micro tarafından kısa süre önce keşfedilen bir bilgi hırsızı olan Bandit Stealer, tespit edilmekten ustaca kaçınırken kripto para cüzdanlarını ve web tarayıcılarını etkili bir şekilde hedefler.
Kötü amaçlı yazılım, hedefi olarak Windows’a öncelik verir ve meşru komut satırı aracı runas’tan yararlanır.[.]exe, programları farklı kullanıcı izinleri altında yürütmek için.
Amaç, kapsamlı kullanıcı verilerini verimli bir şekilde toplamak için ayrıcalıkları yükseltmek, yönetim erişimi elde etmek ve güvenlik önlemlerini atlamaktır.
Kaçınma Antivirüs
Kötü amaçlı yazılım, Go programlama dilini kullanması nedeniyle platformlar arası uyumluluk sergileyerek etkisini çeşitli platformlara yaymasına olanak tanır.
Bandit Stealer, davranışını uyarlamak ve kontrol ettiği belirli göstergelere dayalı olarak tespit veya analizden kaçınmak için korumalı alan tespit mekanizmalarını kullanır: –
- konteyner
- hapishane
- KVM
- QEMU
- kum havuzu
- Sanal makine
- Sanal Kutu
- VMware
- zenci
Kötü amaçlı yazılıma Linux’a özgü bir komutun dahil edilmesi, bir Windows sisteminde “/ proc/self/status” dosya yoluna erişilmesi bir hataya yol açacağından, bunun Linux makinelerini etkilemek üzere tasarlanabileceğini ve büyük olasılıkla test edildiğini gösteriyor.
Kötü amaçlı yazılım, içeriği bir Pastebin bağlantısından alır ve kaydeder (hxxps[:]//yapıştır kutusu[.]com/raw/3fS0MSjN) AppData klasöründe “blacklist.txt” adlı bir dosya olarak.
Aşağıda, bu listenin içerdiği tüm ayrıntılardan bahsettik: –
- Donanım kimlikleri
- IP adresleri
- MAC adresleri
- Kullanıcı adları
- Ana bilgisayar adları
- İşlem adları
Tüm bu ayrıntılar, öncelikle kötü amaçlı yazılımın bir sanal alanda mı çalıştığını yoksa testten mi geçtiğini belirleme amacına hizmet eder.
Dağıtım Kötü Amaçlı Yazılım
Kötü amaçlı yazılım, kimlik avı e-postaları yoluyla yayılır ve arka planda bulaşma sürecini başlatırken kullanıcının dikkatini dağıtan zararsız bir MS Word eki gibi görünür.
Microsoft’un erişim kontrol mekanizması, kötü amaçlı yazılımları kimlik bilgilerine sahip bir yönetici olarak çalıştırır; bu, kullanıcının program yürütme için yeterli ayrıcalığa sahip olmadığı durumlarda kullanışlıdır.
Kötü amaçlı yazılım, Windows Kayıt Defterini değiştirir, varlığını sürdürür ve kripto cüzdanlarından ve web tarayıcılarından kişisel ve finansal verileri toplar.
Haydut Hırsızı, yetkisiz erişim için Telegram oturumlarını çalarak kimliğe bürünmeye ve özel mesajlara ve verilere erişim gibi kötü niyetli eylemlere olanak tanır.
Taranan Tarayıcılar ve Cüzdanlar
Aşağıda, tarayıcılardan bahsetmiştik: –
- 7 Yıldız
- Yandex Tarayıcı
- Cesur Tarayıcı
- arkadaş
- Meşale
- Google Chrome Kanarya
- Google Chrome
- Merkez Tarayıcı
- Sputnik
- İridyum
- yörünge
- UCozOrtalama
- Epic Gizlilik Tarayıcısı
- Microsoft Kenarı
- kuyruklu yıldız
Aşağıda, taranan tüm cüzdanlardan bahsetmiştik:-
- Yonca Cüzdan
- Jaxx Özgürlük
- Vombat
- TronLink
- Güven Cüzdanı
- kripto.com
- BitKeep: Kripto ve NFT Cüzdanı
Aşağıda, kurbanın tarayıcısından çalınan veri türlerinden bahsetmiştik:-
- Giriş verileri
- Kurabiye
- Web geçmişi
- Kredi kartı detayları
Araştırmacılar, kullanıcıları gömülü kötü amaçlı yazılımları başlatmaları, istenmeyen SMS’leri ve e-posta göndermelerini otomatikleştirmeleri için kandıran sahte bir Heart Sender yükleyici buldular.
Bandit Stealer ve benzeri hırsızlardan çalınan bilgiler, saldırganların kimlik hırsızlığı, veri ihlalleri, mali kazanç, hesap ele geçirme, kimlik bilgileri doldurma, diğer siber suçlulara satış yapma ve çifte gasp ve fidye yazılımı gibi devam eden saldırılar gerçekleştirmesine olanak tanır.
Cihaz Duruş Güvenliği ile Kimlik Avı Saldırılarını Durdurun – Ücretsiz E-Kitap İndirin