Pojawiło się nowe złośliwe oprogramowanie, które atakuje cyfrowe portfele walutowe, rozprzestrzeniając się za pośrednictwem wiadomości spamowych i kanałów Discord. Złośliwe oprogramowanie, nazwane Panda Stealer, atakowało głównie ofiary w USA, Niemczech, Japonii i Australii. Firma bezpieczeństwa Trend Micro jako pierwsza wykryła szkodliwe oprogramowanie. W niedawnym poście na blogu tokijska firma ujawniła, że Panda Stealer jest dostarczana za pośrednictwem wiadomości spamowych udających biznesowe cytaty, aby zwabić niczego nie podejrzewające ofiary do otwarcia złośliwych plików Excela.
Jak ujawniła firma ochroniarska, szkodliwe oprogramowanie ma dwa łańcuchy infekcji. W pierwszej przestępcy dołączają dokument .XLSM zawierający złośliwe makra. Gdy ofiara włączy makra, złośliwe oprogramowanie pobiera i uruchamia głównego złodzieja. W drugim łańcuchu infekcji wiadomości e-mail ze spamem są dostarczane z załącznikiem .XLS zawierającym formułę programu Excel, która ukrywa polecenie PowerShell. To polecenie próbuje uzyskać dostęp do paste.ee, alternatywy dla Pastebin, która z kolei uzyskuje dostęp do drugiego zaszyfrowanego polecenia PowerShell.
Według firmy Trend Micro to polecenie służy do uzyskiwania dostępu do adresów URL z witryny paste.ee w celu łatwej implementacji bezplikowych ładunków. „Po zainstalowaniu Panda Stealer może zbierać szczegóły, takie jak klucze prywatne i zapisy przeszłych transakcji z różnych cyfrowych portfeli walutowych swojej ofiary, w tym Dash, Bytecoin, Litecoin i Ethereum” – zauważyła firma. Szkodliwe oprogramowanie nie ogranicza się jednak do portfeli walut cyfrowych. Kradnie dane uwierzytelniające do innych aplikacji, takich jak Telegram, NordVPN, Discord i Steam. Może również wykonywać zrzuty ekranu zainfekowanego komputera oraz przechwytywać i przesyłać dane z przeglądarek, takie jak pliki cookie i hasła.
Firma Trend Micro znalazła kolejne 264 pliki podobne do Panda Stealer w witrynie VirusTotal. Próbki te wykorzystały ponad 140 serwerów dowodzenia i kontroli (C&C) oraz ponad 10 pobranych witryn. Stwierdzono, że „Niektóre z witryn pobierania pochodziły z Discord i zawierały pliki o nazwach takich jak„ build.exe ”, co wskazuje, że osoby atakujące zagrożenie mogą używać Discorda do udostępniania kompilacji Panda Stealer”. Badacze bezpieczeństwa połączyli kampanię złośliwego oprogramowania Panda Stealer z adresem IP przypisanym do wirtualnych serwerów prywatnych wynajmowanych od Shock Hosting. Jednak firma hostingowa twierdziła, że serwer, który przypisała do tego konkretnego adresu, został od tego czasu zawieszony.
Panda Stealer to ulepszenie Collector Stealer, szczepu złośliwego oprogramowania, o którym wiadomo, że kosztuje zaledwie 12 USD na podziemnych forach. Znane również jako DC Stealer, złośliwe oprogramowanie jest reklamowane jako najwyższej klasy złodziej informacji. Trend Micro uważa, że Panda Stealer jest powiązany ze złodziejem kolekcjonerów.
Naukowcy stwierdzili: „Grupy cyberprzestępców i dzieciaki skryptów mogą go wykorzystać do stworzenia własnej, dostosowanej wersji panelu złodzieja i C2. Podmioty zagrażające mogą również rozszerzyć swoje kampanie złośliwego oprogramowania o określone funkcje ze złodzieja zbieraczy ”.
Autor : BitcoinSV.pl
Źródło : Panda Stealer malware targets digital currencies via Discord links, spam emails – CoinGeek
