Le logiciel malveillant Bandit s’attaque à 17 navigateurs, clients FTP et de messagerie électronique
- par Kenan
- , le 5 juillet 2023
- 15 h 33 min
Zscaler ThreatLabz a récemment repéré « Bandit Malware », un nouveau voleur d’informations apparu en avril 2023 et qui a arraché les données suivantes à 17 navigateurs
Le logiciel malveillant Bandit Stealer a développé des techniques sophistiquées pour voler les informations d’identification des clients FTP et de messagerie électronique les plus couramment utilisés. De plus, il a également pris pour cible les portefeuilles de crypto-monnaie stockés sur des ordinateurs de bureau.
Ce logiciel malveillant, codé en Go (Golang), envoie les données volées à un serveur C2 via Telegram. Il possède la capacité de contourner discrètement les environnements virtuels et les outils d’analyse automatisés. Le voleur Bandit utilise diverses techniques anti-analyse pour échapper aux méthodes d’analyse automatisées et manuelles.
Lorsque le logiciel malveillant détecte certains processus spécifiques, il met automatiquement fin à son exécution. Les versions les plus récentes de Bandit vérifient également la présence d’un débogueur en utilisant l’API Windows et les appels suivants : [insérer appels API ici].
Bandit collecte l’UUID et les dimensions de l’écran en utilisant des commandes WMIC spécifiques. Les informations collectées aident les attaquants à identifier les configurations d’analyse utilisées. Pour éviter d’être détecté dans des environnements virtuels, Bandit utilise une liste exhaustive d’éléments pour tromper les fournisseurs de sécurité et échapper aux soupçons.
En utilisant « api.ipify.org », Bandit récupère l’adresse IP externe du système. Ensuite, il compare cette adresse IP avec une liste noire d’adresses IP stockées en interne. Si une correspondance est trouvée, Bandit cesse son activité. De plus, Bandit peut également ajouter des adresses MAC liées à la virtualisation dans sa liste noire afin de contourner les environnements de bac à sable.
Bandit Stealer obtient également des listes noires supplémentaires en utilisant la commande « cmd /c net session » pour vérifier le nom d’utilisateur et le nom de l’ordinateur de la victime. Il utilise ensuite l’API Windows CreateToolhelp32Snapshot pour capturer une image instantanée des processus en cours d’exécution et les compare à une liste noire stockée dans l’application. Si un processus figurant sur la liste noire est détecté, Bandit s’arrête immédiatement.
Les données volées sont stockées dans des fichiers situés dans un sous-dossier du répertoire %appdata%\local. Le nom du sous-dossier suit le format [country_code][ip_address]. Le fichier USERINFO.txt contient l’en-tête Bandit Stealer ainsi que les informations système collectées, qui sont ensuite envoyées via Telegram à l’attaquant une fois la collecte des données terminée.
L’attaquant traite les données collectées en effectuant une analyse et une extraction automatisées, ce qui aboutit à une réponse codée en JSON.