Bandit Stealer IOCs

Spyware IOC
Опубликовано

Недавно появившаяся вредоносная программа для кражи информации под названием Bandit Stealer набирает обороты, поскольку она нацелена на множество браузеров и криптовалютных кошельков, избегая обнаружения. В настоящее время наблюдается растущий интерес и рекламная активность в сообществе вредоносных программ, направленная на повышение осведомленности и использование этой вредоносной программы.

Bandit Stealer

Оразец (SHA256) 050dbd816c222d3c012ba9f2b1308db8e160e7d891f231272f1eacf19d0a0a06, 64-битный двоичный исполняемый файл, написанный на языке Go.

Вредоносная программа пытается использовать runas.exe, утилиту командной строки в операционных системах (ОС) Windows, которая позволяет пользователям запускать определенные программы или команды с учетными данными или разрешениями, отличными от учетной записи текущего пользователя. Это повышает привилегии пользователя и выполняется с административным доступом, позволяя пользователю утилиты выполнять вредоносные действия без обнаружения или блокирования установленными мерами безопасности.

Microsoft приняла различные меры для предотвращения несанкционированного использования функции runas.exe, включая внедрение ограничений безопасности. Это ограничивает привилегии и действия, которые могут быть выполнены с помощью runas.exe. Microsoft также усилила контроль доступа пользователей, гарантируя, что только уполномоченные лица с необходимыми разрешениями могут выполнять привилегированные операции. В данном случае вредоносная программа пытается запустить себя от имени администратора. Однако благодаря существующим мерам смягчения или усовершенствованиям безопасности Microsoft это было предотвращено, поскольку использование runas с правами администратора требует пароля.

Используя команду runas.exe, пользователи могут запускать программы от имени администратора или любой другой учетной записи пользователя с соответствующими привилегиями, обеспечивать более безопасную среду для запуска критически важных приложений или выполнять задачи системного уровня. Эта утилита особенно полезна в ситуациях, когда текущая учетная запись пользователя не имеет достаточных привилегий для выполнения определенной команды или программы. В случае с Bandit Stealer это делается с помощью следующей командной строки:

runas /user:Administrator <Bandit Stealer>

Несмотря на это, Bandit Stealer не удается использовать его, поскольку для этого необходимо предоставить соответствующие учетные данные.

Bandit Stealer проверяет следующее, чтобы определить, работает ли он в среде песочницы, и соответствующим образом изменяет свое поведение, чтобы избежать обнаружения или анализа:

  • container
  • jail
  • KVM
  • QEMU
  • sandbox
  • Virtual Machine
  • VirtualBox
  • VMware
  • Xen

Однако чтение /proc/self/status специфично для ОС Linux, и попытка доступа к этому пути файла в системе Windows приведет к ошибке. Возможно, вредоносная программа тестируется и включает в себя функцию, способную заразить Linux-машины, отсюда и наличие команды tshe, специфичной для Linux.

Вредоносная программа загружает содержимое ссылки Pastebin hxxps[:]//pastebin[.]com/raw/3fS0MSjN и сохраняет его в файл с именем "blacklist.txt" в папке AppData. Этот список содержит идентификаторы оборудования, IP-адреса, MAC-адреса, имена пользователей, имена хостов и имена процессов, обычно используемые для определения того, запущена ли вредоносная программа в "песочнице" или тестовой среде. Эта техника ранее использовалась другими похитителями информации, такими как Creal Stealer, Luna Grabber, Kyoku Cookie token stealer и Pegasus Stealer. Сходство было основано на содержании черного списка, используемых IP и MAC-адресах. Это позволяет предположить, что он либо основан на оригинальном Python-платформе, либо использует ее порт. Вполне вероятно, что в Bandit Stealer использовался язык программирования Go, чтобы избежать обнаружения и обеспечить кросс-платформенную функциональность, аналогичную краже на базе Python.

После загрузки файл blacklist.txt будет сохранен по пути <C:\Users\<Имя пользователя>\AppData\Roaming\blacklist.txt>. Затем вредоносная программа использует функцию bandits.utils.CompareWithBlacklist для сравнения адресов сетевых интерфейсов, аппаратного обеспечения (HWID) и имени хоста с записями в черном списке.

Первая половина MAC-адреса (24 бита) называется Organizationally Unique Identifier (OUI), который идентифицирует производителя или поставщика сетевого интерфейса. Один из MAC-адресов из черного списка, "00:0c:29", соответствует OUI для продуктов VMware, таких как виртуальные машины, которые обычно используются для анализа песочниц и вредоносных программ. Вредоносная программа использует команду "wmic csproduct get uuid", утилиту командной строки Windows Management Instrumentation Command-line (WMIC), используемую для получения уникального аппаратного идентификатора (UUID) зараженного устройства.

Вредоносная программа получает текущее имя пользователя с помощью os_user_Current и имя устройства с помощью os_hostname. После проверки на наличие IP-адресов, MAC-адресов, HWID и пользователей в черном списке вредоносная программа завершает процессы, связанные с инструментами анализа вредоносного ПО.

Вредоносная программа использует специфические для Linux команды pgrep и pkill для завершения процессов из черного списка. Эти команды широко используются в Linux и Unix-подобных ОС для поиска и завершения процессов на основе их имен или атрибутов, таких как имя пользователя владельца процесса или аргументы командной строки. Команда pgrep используется для поиска идентификатора процесса (PID) запущенного процесса на основе его атрибутов. И наоборот, команда pkill посылает сигнал одному или нескольким запущенным процессам, что приводит к их завершению. Однако, поскольку эти команды специфичны для Linux, они не могут быть использованы в Windows. Вероятно, вредоносная программа все еще находится в стадии разработки или адаптации к платформе Windows.

Для того чтобы постоянно запускать и осуществлять свою вредоносную деятельность, Bandit Stealer создает запись в реестре для автозапуска. Он создает запись реестра автозапуска <HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run> со значением "BANDIT STEALER", чтобы обеспечить выполнение вредоносной программы при каждом запуске или перезагрузке зараженной системы. Таким образом, даже после выключения или перезагрузки системы вредоносная программа может продолжать работать и красть данные из системы жертвы.

После установления персистентности Bandit Stealer собирает украденную информацию жертвы и хранит ее в папке "vicinfo" в <C:\Users\<Имя пользователя>\AppData\Local\>.

Файл вредоносной программы мог быть невольно загружен пользователями при посещении вредоносных веб-сайтов или через фишинговые электронные письма. В этом разделе мы рассмотрим различные способы установки и исполнения вредоносной программы.

Дроппер, самораспаковывающийся архив, запускает файл hot.exe. После того как вредоносная программа выполнит все предусмотренные действия, она открывает документ Word и обманывает пользователя, открывая, казалось бы, безобидный документ и создавая иллюзию доступа к не вредоносному файлу.

Родитель исполнения: NewWarningNotice.exe (SHA256: 106a184d39858af7b0264f26fe0fc657a84ccfd87df3a4f55e7060b3c3c1d92d) сбрасывает следующие файлы:

  • %temp%\RarSFX0\notice.docx
  • %temp%\RarSFX0\hot.exe (Bandit Stealer)

Дроппер, также представляющий собой самораспаковывающийся архив, выполняет файл RUNFIRST.exe. После того как вредоносная программа выполнит все свои действия, она откроет файл openvpn-gui.exe, не являющийся вредоносным.

Родитель исполнения: OpenVpnGUI_unlimited.exe (SHA256: 064338e9b9075b48890d9db21fec27a3c7ce10e80abc954ba3777b660eceeacb) бросает следующий файл:

  • %TEMP%\RUNFIRST.exe (Bandit Stealer)
  • %TEMP%\openvpn-gui.exe

После выполнения самораспаковывающегося архива появится изображение, показанное на рисунке 16, которое выступает в качестве программы установки приложения Heartsender. Heartsender - это инструмент для распространения спама, который автоматизирует процесс отправки большого количества электронных писем многочисленным получателям. Хотя они могут использоваться в рекламных и маркетинговых целях, обычные пользователи редко используют это приложение из-за потенциальной возможности злоупотребления фишингом, мошенничеством и распространением вредоносного ПО. В данном примере автор, по-видимому, создал поддельную программу установки Heartsender, которую можно приобрести в Интернете, чтобы обманом заставить пользователей установить ее с внедренным вредоносным ПО.

Как только жертва выбирает кнопку "Да", вредоносная программа подбрасывает и выполняет файл Lowkey.exe, который является Bandit Stealer.

Родитель исполнения: HeartSender.exe (SHA256: 64fe4148c74e0603c198459fd46b3ed3bece8066498f91782b6d98d5c3fc2d01) сбрасывает файл %TEMP%\Lowkey.exe (Bandit Stealer).

Indicators of Compromise

URLs

  • https://api.telegram.org/bot5943289606:AAGNEW2B3zDRhGDxY7E1tg7_m2BJcVkUJDw/sendDocument
  • https://pastebin.com/raw/3fS0MSjN

SHA256

  • 050dbd816c222d3c012ba9f2b1308db8e160e7d891f231272f1eacf19d0a0a06
  • 064338e9b9075b48890d9db21fec27a3c7ce10e80abc954ba3777b660eceeacb
  • 106a184d39858af7b0264f26fe0fc657a84ccfd87df3a4f55e7060b3c3c1d92d
  • 191ce844c2381564bfc289789e364d1330ddc05bd97c9a8c13139e5f240c2527
  • 1cd60650fa3e560d8f7c80d4d059e669e64486bd3ca6daed52d8fdce14d0455b
  • 64fe4148c74e0603c198459fd46b3ed3bece8066498f91782b6d98d5c3fc2d01
  • 69088f95523d2199e5a277a67a2f70a42e653bf58fb0f3790aa1436bd101eeb1
  • 70a577151ba8b726808ad4bda7a4caf31eb2f4ab7e70045247b145d5feda5440
  • 782ec01fa989886571a72b77dc662640a9df7a5fbdc8a863a256820c7faf8e3b
  • c4776e3d50d53cb0cad3f6b4e685bbb8e0b6efe0b3e761db2b64a4232f21996e
  • d934a1bde6bb75936d223426e64497e92526b8bc75a4f8a59a87f1d25ed1a0d2
  • da3c3df0712fffd047e3b7326852d96def7584f5070c3c7803e47593899b4d0a
  • ecc311fcf3884ead2e5614baedfe412e6d797d044df005dff2fae86f9c80d63a

 

 

Похожие записи:
  1. Mars Stealer IOC
  2. FFDroider Stealer IOC
  3. Mirai Botnet IOC
  4. ZingoStealer Malware IOCs
  5. Inno Stealer IOCs
Bandit Stealer TrendMicro
Добавить комментарий