Amsterdam, 22 juni 2023 - De information stealer Bandit wordt as-a-service verkocht via advertenties aan cybercriminelen, blijkt uit
onderzoek van Zscaler ThreatLabz. Bandit werd voor het eerst gesignaleerd in april 2023 en verzamelt gevoelige informatie van de machines van slachtoffers, waaronder cookies, opgeslagen inloggegevens en creditcardgegevens van meer dan een dozijn webbrowsers. De stealer richt zich ook op inloggegevens voor populaire FTP-clients en e-mailclients en op applicaties voor desktop-cryptocurrency-wallets. Alle gestolen informatie wordt vervolgens via Telegram teruggestuurd naar een command and control (C2)-server. De malware is geschreven in de programmeertaal Go (ook bekend als Golang) en valt vooral op door het grote aantal pogingen om virtuele omgevingen en geautomatiseerde malware-analyseplatforms te omzeilen.
Belangrijkste punten:
- Bandit is een nieuwe infostealer die opgeslagen inloggegevens van webbrowsers, FTP-clients, e-mailclients verzamelt en zich richt op applicaties voor cryptocurrency-wallets.
- De malware stuurt gestolen informatie via Telegram naar een command and control-server.
- Bandit implementeert tal van methoden om virtuele machines en malware-sandboxen te detecteren en te omzeilen.
- Bandit wordt sinds april 2023 op de markt gebracht en verkocht als service op ondergrondse criminele fora.
- De malware is geschreven met behulp van de Go-programmeertaal, die steeds populairder is geworden bij malware-ontwikkelaars.
Bandit Stealer wordt op de markt gebracht en verkocht als een dienst op ondergrondse fora van cybercriminelen, zoals weergegeven in de onderstaande afbeelding.
Gedrag van de stealer
Bandit steelt webbrowsergegevens, waaronder opgeslagen inloggegevens, cookies, geschiedenis en creditcardgegevens die zijn opgeslagen in het gebruikersprofiel van de browser. Bandit richt zich op een lange lijst met browsers, waaronder Google Chrome en Microsoft Edge. De SQLite3-bibliotheek wordt gebruikt om gegevens op te halen en de CryptUnprotectData API wordt gebruikt om cookies en inloggegevens te decoderen. Er worden ook creditcardgegevens gestolen, waaronder de naam, de vervaldatum en het kaartnummer. Bandit richt zich ook op desktop-cryptocurrency-wallets zoals Electrum, Exodus, MetaMask, Guarda, Binance, Ethereum.
Recente voorbeelden van Bandit richten zich ook op referenties in File Transfer Protocol Client (FTP)-applicaties, zoals EasyFTP, DeluxeFTP en GoFTP. Evenals inloggegevens voor e-mailclients zoals Mailbird en Opera Mail.
Conclusie
Bandit Stealer wordt voortdurend bijgewerkt met nieuwe functies om de gegevensverzameling te verbeteren. Onlangs heeft Bandit ondersteuning toegevoegd om FTP- en e-mailreferenties te stelen en is het ook in staat om zijn anti-analysefuncties uit te breiden met een dynamische configuratie die is gedownload van Pastebin. Het misbruik van Telegram als C2-server is ook een steeds populairdere techniek geworden om netwerkgebaseerde signatures te omzeilen en verwijdering moeilijker te maken. Door al deze factoren vormt Bandit Stealer een serieuze dreiging in de nabije toekomst.
Klik hier voor een uitgebreidere technische analyse van deze campagne.