لصوص الانترنت الجدد الذين يستهدفون متصفحات الويب ومحافظ العملات المشفرة

يولي الباحثون الأمنيون اهتمامًا لفيروس سرقة المعلومات الجديد المسمى Bandit Stealer لأنه يمكن أن يستهدف مجموعة متنوعة من متصفحات الويب ومحافظ العملات المشفرة.

اللصوص المتخفية

في بحث صدر يوم الجمعة ، ذكرت Trend Micro أن Bandit Stealer "لديها القدرة على التوسع إلى منصات أخرى حيث تم تطويرها باستخدام لغة برمجة Go ، مما قد يسمح بالتوافق عبر الأنظمة الأساسية."

من خلال استخدام الأداة المساعدة لسطر الأوامر الرسمية runas.exe ، والتي تمكن المستخدمين من تشغيل البرامج كمستخدم آخر بحقوق مختلفة ، يركز الفيروس حاليًا على مهاجمة أنظمة Windows.

الهدف هو زيادة الامتيازات وتشغيل البرنامج مع وصول المسؤول ، مما يؤدي بشكل أساسي إلى تعطيل الحماية الأمنية والسماح له بالتقاط كميات كبيرة من البيانات.

لبدء تشغيل برنامج البرامج الضارة كمسؤول ، يتطلب ذلك إدخال بيانات الاعتماد المطلوبة بسبب إجراءات تخفيف التحكم في الوصول من Microsoft التي توقف التنفيذ غير المصرح به للأداة.

من أجل توفير بيئة أكثر أمانًا لتشغيل التطبيقات المهمة أو تنفيذ عمليات على مستوى النظام ، يمكن للمستخدمين تنفيذ البرامج كمسؤول أو أي حساب مستخدم آخر مع بيانات الاعتماد اللازمة باستخدام الأمر runas.exe ، وفقًا لـ Trend Micro.

هذه الأداة مفيدة بشكل خاص عندما لا يمتلك حساب المستخدم الحالي الحقوق الكافية لتشغيل أمر أو برنامج معين.

من أجل إخفاء وجوده على النظام المصاب ، يدمج Bandit Stealer عمليات التحقق لمعرفة ما إذا كان يعمل في بيئة رمل أو بيئة افتراضية ويقتل قائمة العمليات المحظورة.

قبل بدء عمليات جمع البيانات ، والتي تشمل جمع البيانات الشخصية والمالية المحفوظة في متصفحات الإنترنت ومحافظ العملات المشفرة ، فإنها تبني أيضًا ثباتًا من خلال تعديلات سجل Windows.

وفقًا للتقارير ، يتم نشر Bandit Stealer عن طريق رسائل البريد الإلكتروني المخادعة التي تتضمن ملف قطارة يفتح مرفق Microsoft Word يبدو بريئًا لتحويل الانتباه أثناء بدء الإصابة في نفس الوقت.

هناك طريقة أخرى تستخدم لخداع المستخدمين لتشغيل البرامج الضارة المضمنة وهي التثبيت الزائف لـ Heart Sender ، وهي خدمة تعمل على أتمتة عملية إرسال رسائل البريد الإلكتروني العشوائية والرسائل النصية القصيرة إلى العديد من المستلمين ، وفقًا لـ Trend Micro.

يأتي هذا التطور بعد اكتشاف شركة الأمن السيبراني لسارق معلومات قائم على Rust يستهدف Windows يستخدم خطاف ويب GitHub Codespaces يتحكم فيه المهاجم كقناة تسلل للحصول على بيانات اعتماد متصفح الويب الخاص بالضحية وبطاقات الائتمان ومحافظ العملات المشفرة و Steam and Discord الرموز.

من خلال تعديل عميل Discord المثبت لإدخال كود JavaScript يهدف إلى جمع المعلومات من البرنامج ، يحافظ الفيروس ، باستخدام طريقة غير معتادة إلى حد ما ، على الثبات على الجهاز.

تأتي الاكتشافات في أعقاب العديد من متغيرات البرامج الضارة لسرقة السلع ، بما في ذلك Luca و StrelaStealer و DarkCloud و WhiteSnake و Invicta Stealer ، والتي شوهد بعضها ينتشر عبر رسائل البريد الإلكتروني العشوائية والنسخ المزيفة من البرامج المعروفة.

من التطورات الأخرى الجديرة بالملاحظة استخدام مقاطع فيديو YouTube للترويج للبرامج المقرصنة من خلال القنوات المخترقة ذات قواعد المشتركين الكبيرة.

يمكن للمشغلين الاستفادة من البيانات التي تم جمعها من اللصوص بطرق متنوعة ، وذلك باستخدامها لأشياء مثل سرقة الهوية ، والمكاسب المالية ، وخرق البيانات ، والاعتداءات على حشو بيانات الاعتماد ، والاستيلاء على الحسابات.

قد يتم أيضًا بيع البيانات المسروقة لأطراف أخرى واستخدامها كأساس لاعتداءات أخرى ، مثل برامج الفدية أو مخططات الابتزاز أو عمليات التسويق المستهدفة.

تُظهر هذه الاكتشافات كيف أصبحت البرامج الضارة الخفية في خطر أكثر خطورة تمامًا مثلما تسهل صناعة البرمجيات الخبيثة كخدمة (MaaS) على مجرمي الإنترنت المحتملين البدء وتجعل الوصول إليها أكثر سهولة.

وفقًا للبيانات التي حصلت عليها وحدة مكافحة التهديدات (CTU) التابعة لشركة Secureworks ، هناك "سوق معلوماتية مزدهرة" ، حيث زادت كمية السجلات المسروقة التي تظهر في أسواق الشبكة المظلمة مثل الصناعة الروسية بنسبة 670٪ بين يونيو 2021 ومايو 2023.

وفقًا للشركة ، "تعرض السوق الروسية خمسة ملايين قطعة خشب للبيع ، وهو ما يقرب من عشر مرات أكثر من أقرب منافس لها في المنتدى 2 إيزي."

"يتم استخدام السوق الروسية على نطاق واسع من قبل الجهات الفاعلة في مجال التهديد على مستوى العالم وهي راسخة بين مجرمي الإنترنت الروس. وقد قام السوق الروسي للتو بتحميل سجلات من ثلاثة لصوص جدد ، مما يشير إلى أن الموقع يتكيف بقوة مع عالم الجريمة الإلكترونية المتغير باستمرار.

على الرغم من تعقيده المتزايد ، كان نظام MaaS البيئي أيضًا في حالة اضطراب ، حيث تبيع الجهات الفاعلة في مجال التهديد منتجاتها على Telegram نتيجة لعمليات الإنفاذ القانوني.

قال دون سميث ، نائب رئيس Secureworks CTU: "ما نراه هو اقتصاد تحت الأرض بالكامل ودعم البنية التحتية المبنية حول مخترعي المعلومات ، مما يجعله ليس ممكنًا فحسب ، بل يحتمل أيضًا أن يكون مربحًا لممثلي التهديدات منخفضة المهارة نسبيًا للمشاركة."

يقول التقرير: "إن جهود إنفاذ القانون المنسقة عالميًا لها بعض التأثير ، لكن مجرمي الإنترنت ماهرون في إعادة تشكيل طرقهم إلى السوق".