Bandit Stealer 是趋势科技最近发现的一种信息窃取程序，它有效地针对加密货币钱包和网络浏览器，同时巧妙地避免检测。

该恶意软件优先将 Windows 作为其目标，并利用合法的命令行工具runas[.]exe 在不同的用户权限下执行程序。

目的是提升权限、获得管理访问权限并绕过安全措施以有效收集大量用户数据。

        逃避杀毒软件

由于使用 Go 编程语言，该恶意软件具有跨平台兼容性，使其能够将影响扩展到各种平台。

Bandit Stealer 采用沙盒检测机制来调整其行为并根据其检查的特定指标逃避检测或分析：

container

jail

KVM

QEMU

sandbox

Virtual Machine

VirtualBox

VMware

Xen

在恶意软件中包含特定于 Linux 的命令表明它可能旨在感染Linux 机器并且可能正在接受测试，因为在 Windows 系统上访问“/proc/self/status”文件路径会导致错误。

恶意软件从 AppData 文件夹中的 Pastebin 链接 (hxxps[:]//pastebin[.]com/raw/3fS0MSjN) 检索内容并将其保存为名为“blacklist.txt”的文件。

在下面，我们提到了此列表包含的所有详细信息：

硬件 ID

IP地址

MAC地址

用户名

主机名

进程名称

所有这些细节主要的目的是确定恶意软件是在沙盒中运行还是在接受测试。

       恶意软件的传播

恶意软件通过钓鱼邮件传播，将自己伪装成无害的 MS Word 附件，在后台启动感染过程，从而分散用户的注意力。

微软的访问控制机制将以管理员身份运行恶意软件，当用户缺乏执行程序所需的足够权限时，该机制非常有用。

恶意软件修改了 Windows 注册表，并持续收集从加密货币钱包和浏览器中提取的个人和财务数据。

Bandit Stealer 窃取Telegram会话以进行未经授权的访问，从而实现冒充和恶意行为，例如访问私人消息和数据。

       扫描浏览器和钱包

以下是我们提到的浏览器：

7Star

YandexBrowser

Brave-Browser

Amigo

Torch

Google Chrome Canary

Google Chrome

Cent Browser

Sputnik

Iridium

Orbitum

UCozMedia

Epic Privacy Browser

Microsoft Edge

Kometa

以下是被扫描的所有钱包：

Clover Wallet

Jaxx Liberty

Wombat

TronLink

Trust Wallet

Crypto.com

BitKeep: Crypto & NFT Wallet

以下是我们从受害者的浏览器中窃取的数据类型：

Login data

Cookies

Web history

Credit card details

研究人员发现了一个伪造的 Heart Sender安装程序，它可以诱骗用户启动嵌入式恶意软件、自动发送垃圾短信和电子邮件。

从 Bandit Stealer 和类似窃取者窃取的信息使攻击者能够从事身份盗窃、数据泄露、经济利益、帐户劫持、凭据填充、出售给其他网络犯罪分子，以及进行双重勒索和勒索软件等后续攻击。

参考及来源：https://gbhackers.com/bandit-malware-attacks-browsers/