Cyberthreat.id - Malware baru itu bernama Bandit Stealer, si pencuri informasi tersembunyi ini memiliki kemampuan untuk menargetkan banyak browser web dan dompet mata uang kripto. Kiprahnya itulah yang menjadi menarik perhatian peneliti keamanan dunia maya.

"Ini memiliki potensi untuk diperluas ke platform lain karena Bandit Stealer dikembangkan menggunakan bahasa pemrograman Go, memungkinkan kompatibilitas lintas platform," kata Trend Micro dalam laporan Jumat lalu sebagaimana dikutip The Hacker News.

Malware Bandit Stealer saat ini fokus menargetkan Windows dengan menggunakan alat baris perintah resmi yang disebut runas.exe yang memungkinkan pengguna menjalankan program sebagai pengguna lain dengan izin berbeda.

Tujuannya adalah untuk meningkatkan hak istimewa dan mengeksekusi dirinya sendiri dengan akses administratif, sehingga secara efektif melewati langkah-langkah keamanan untuk memanen banyak data.

Yang mengatakan, mitigasi kontrol akses Microsoft untuk mencegah eksekusi alat yang tidak sah berarti upaya untuk menjalankan biner malware karena administrator memerlukan kredensial yang diperlukan.

"Dengan menggunakan perintah runas.exe, pengguna dapat menjalankan program sebagai administrator atau akun pengguna lainnya dengan hak istimewa yang sesuai, menyediakan lingkungan yang lebih aman untuk menjalankan aplikasi penting, atau melakukan tugas tingkat sistem," kata Trend Micro.

"Utilitas ini sangat berguna dalam situasi di mana akun pengguna saat ini tidak memiliki hak yang memadai untuk menjalankan perintah atau program tertentu."

Bandit Stealer memasukkan pemeriksaan untuk menentukan apakah itu berjalan di kotak pasir atau lingkungan virtual dan mengakhiri daftar proses yang diblokir untuk menyembunyikan keberadaannya di sistem yang terinfeksi.

Itu juga menetapkan kegigihan melalui modifikasi Windows Registry sebelum memulai aktivitas pengumpulan datanya yang mencakup pengambilan data pribadi dan keuangan yang disimpan di browser web dan dompet crypto.

Bandit Stealer dikatakan didistribusikan melalui email phishing yang berisi file dropper yang membuka lampiran Microsoft Word yang tampaknya tidak berbahaya sebagai manuver pengalih perhatian sekaligus memicu infeksi di latar belakang.

Trend Micro mengatakan mereka juga mendeteksi penginstal palsu dari Heart Sender, sebuah layanan yang mengotomatiskan proses pengiriman email spam dan pesan SMS ke banyak penerima, yang digunakan untuk mengelabui pengguna agar meluncurkan malware yang disematkan.

Perkembangan tersebut terjadi ketika perusahaan keamanan siber menemukan pencuri info berbasis Rust yang menargetkan Windows yang memanfaatkan webhook GitHub Codespaces yang dikendalikan oleh penyerang sebagai saluran eksfiltrasi untuk mendapatkan kredensial browser web korban, kartu kredit, dompet cryptocurrency, dan token Steam dan Discord.

Malware, dalam taktik yang relatif tidak biasa, mencapai kegigihan pada sistem dengan memodifikasi klien Discord yang diinstal untuk menyuntikkan kode JavaScript yang dirancang untuk menangkap informasi dari aplikasi.

Temuan ini juga mengikuti munculnya beberapa jenis malware pencuri komoditas seperti Luca, StrelaStealer, DarkCloud, WhiteSnake, dan Invicta Stealer, beberapa di antaranya telah diamati menyebar melalui email spam dan versi palsu dari perangkat lunak populer.

Tren penting lainnya adalah penggunaan video YouTube untuk mengiklankan perangkat lunak yang diretas melalui saluran yang disusupi dengan jutaan pelanggan.

Data yang dikumpulkan dari pencuri dapat menguntungkan operator dalam banyak cara, memungkinkan mereka mengeksploitasi tujuan seperti pencurian identitas, keuntungan finansial, pelanggaran data, serangan isian kredensial, dan pengambilalihan akun.

Informasi yang dicuri juga dapat dijual ke aktor lain, berfungsi sebagai dasar untuk serangan lanjutan yang dapat berkisar dari kampanye bertarget hingga serangan ransomware atau pemerasan.

Perkembangan ini menyoroti evolusi berkelanjutan dari malware pencuri menjadi ancaman yang lebih mematikan, sama seperti pasar malware-as-a-service (MaaS) membuatnya tersedia dan menurunkan hambatan masuk bagi calon penjahat dunia maya.

Memang, data yang dikumpulkan oleh Secureworks Counter Threat Unit (CTU) telah mengungkapkan "pasar infostealer yang berkembang pesat", dengan volume kayu gelondongan yang dicuri di forum bawah tanah seperti Pasar Rusia mencatat lonjakan 670% antara Juni 2021 dan Mei 2023.

"Pasar Rusia menawarkan lima juta batang kayu untuk dijual, sekitar sepuluh kali lebih banyak dari saingan forum terdekatnya, 2easy," kata perusahaan itu.

"Pasar Rusia mapan di antara penjahat dunia maya Rusia dan digunakan secara luas oleh pelaku ancaman di seluruh dunia. Pasar Rusia baru-baru ini menambahkan catatan dari tiga pencuri baru, yang menunjukkan bahwa situs tersebut secara aktif beradaptasi dengan lanskap kejahatan elektronik yang selalu berubah."

Ekosistem MaaS, meskipun kecanggihannya meningkat, juga berada dalam keadaan berubah, dengan tindakan penegakan hukum mendorong pelaku ancaman untuk menjajakan perangkat mereka di Telegram.

"Apa yang kami lihat adalah seluruh ekonomi bawah tanah dan infrastruktur pendukung yang dibangun di sekitar infostealer, sehingga tidak hanya memungkinkan tetapi juga berpotensi menguntungkan bagi pelaku ancaman yang berketerampilan relatif rendah untuk terlibat," kata Don Smith, wakil presiden Secureworks CTU.

"Tindakan global yang terkoordinasi oleh penegak hukum memiliki beberapa dampak, tetapi penjahat dunia maya mahir dalam membentuk kembali rute mereka ke pasar."[]