سرقت‌ اطلاعات کاربران توسط‌ بدافزار Bandit Stealer

محققان امنیتی‌ اخیراً یک‌ بدافزار سارق اطلاعات به‌ نام Bandit Stealer را کشف‌ کرده اند که‌ دارای‌ توانایی‌هایی‌ در زمینه‌ جلوگیری‌ از کشف‌ شدن توسط‌ ساز و کارهای‌ امنیتی‌ و نیز سرقت‌ اطلاعات شخصی‌ و بانکی‌ ذخیره شده در کیف‌ پول های‌ رمزارزی‌ و نیز مرورگرها می‌باشد. به‌ گفته‌ محققان، بدافزار مزبور قادر به‌ هدف قراردادن کیف‌ پول های‌ رمزارزی‌ و مرورگرهای‌ وب بوده و علاوه بر این‌، با استفاده از تاکتیک‌های‌ مختلف‌، از کشف‌ شدن توسط‌ ساز و کارهای‌ امنیتی‌، جلوگیری‌ می‌کند.

در حال حاضر این‌ بدافزار سیستم‌های‌ ویندوزی‌ را هدف قرار داده ولی‌ با توجه‌ به‌ این‌ که‌ با استفاده از زبان برنامه‌نویسی‌ Go توسعه‌ داده شده است‌، قابلیت‌ هدف قرار دادن سایر پلتفرم ها در آینده را نیز دارا خواهد بود که‌ این‌ بدین‌ معناست‌ که‌ Bandit Stealer دارای‌ قابلیت‌ سازگاری‌ فرا پلتفرمی می‌باشد. بدافزار یاد شده توانایی‌ تشخیص‌ اجرا شدن در محیط‌ آزمایشی‌ را دارد و به‌ منظور جلوگیری‌ از کشف‌ شدن، به‌ سرعت‌ فرآیندهایی‌ که‌ در لیست‌ سیاه آن قرار دارند را مسدود می‌ کند. گفته‌ شده این‌ بدافزار از طریق‌ ایمیل‌های‌ فیشینگ‌ توزیع‌ می‌شود که‌ این‌ ایمیل‌ها حاوی‌ یک‌ فایل‌ Dropper هستند که‌ اقدام به‌ باز کردن یک‌ فایل‌ در ظاهر بی‌ خطر Word می‌نماید تا از این‌ طریق‌ حواس کاربر را پرت کند و در پس‌ زمینه‌، زنجیره آلوده سازی‌ را فعال می‌کند.

Bandit Stealer سیستم‌ های‌ ویندوزی‌ را از طریق‌ یک‌ ابزار قانونی‌ مربوط به‌ خط‌ فرمان ویندوز به‌ نام runas.exe هدف قرار می‌دهد؛ این‌ ابزار کاربران را قادر می‌سازد تا برنامه‌ها را با سطوح دسترسی‌ متفاوت و برای‌ اهداف متفاوت استفاده نمایند. هدف اولیه‌ و اصلی‌، ارتقاء سطح‌ دسترسی‌ و اجرای‌ فایل‌ با سطح‌ دسترسی‌ مدیر سیستم‌ برای‌ دور زدن ساز و کارهای‌ امنیتی‌ سیستم‌ و سرقت‌ حجم‌ بیشتری‌ از داده ها می‌باشد.

با استفاده از دستور runas.exe، کاربر می‌ تواند برنامه‌ها را با سطح‌ دسترسی‌ ادمین‌ و یا هر حساب کاربری‌ که‌ دارای‌ سطح‌ دسترسی‌ مناسب‌ و کافی‌ هست‌، اجرا نماید تا از این‌ طریق‌، فضای‌ امن‌تری‌ برای‌ اجرای‌ برنامه‌های‌ ضروری‌ و یا انجام Taskهای‌ سطح‌ سیستمی‌ فراهم‌ شود. لازم به‌ ذکر است‌ ساز و کار پیشگیرانه‌ کنترل دسترسی‌ مایکروسافت‌، هکر را مجبور می‌ سازد تا فایل‌ باینری‌ بدافزار را پس‌ از اخذ اعتبارنامه‌های‌ لازم، در قالب‌ یک‌ کاربر با سطح‌ دسترسی‌ ادمین‌ سیستم‌ اجرا نماید. این‌ ابزار زمانی‌ کاربرد دارد که‌ کاربر فعلی‌، فاقد مجوزهای‌ دسترسی‌ مکفی‌ برای‌ اجرای‌ یک‌ نرم افزار مشخص‌ می‌باشد. پایداری‌ و ماندگاری‌ بدافزار یاد شده، به‌ واسطه‌ اعمال تغییرات در رجیستری‌ ویندوز به‌ دست‌ می‌آید. بدافزار یاد شده، در ادامه‌ فعالیت‌ های‌ خود اقدام به‌ جمع‌آوری‌ داده ها مشتمل‌ بر اطلاعات شخصی‌ و بانکی‌ ذخیره شده در مرورگرهای‌ وب و کیف‌ پول های‌ رمزارزی‌ می‌نماید.