Новое вредоносное ПО, нацеленное на кошельки с цифровой валютой, распространяется через спам-сообщения и каналы Discord. Вредоносное ПО, получившее название Panda Stealer, в основном нацелено на жертв в США, Германии, Японии и Австралии.
Первой вредоносную программу обнаружила охранная компания Trend Micro. В недавнем сообщении в блоге токийская фирма сообщила, что Panda Stealer доставляется через спам-сообщения, выдаваемые за бизнес-цитаты, чтобы заманить ничего не подозревающих жертв в открытие вредоносных файлов Excel.
По данным службы безопасности, вредоносное ПО имеет две цепочки заражения. В первом случае злоумышленники прикрепляют документ .XLSM, содержащий вредоносные макросы. Как только жертва активирует макросы, вредоносная программа загружает и запускает основной стилер.
Во второй цепочке заражения спам-сообщения приходят с вложением .XLS, содержащим формулу Excel, скрывающую команду PowerShell. Эта команда пытается получить доступ к paste.ee, альтернативе Pastebin, которая, в свою очередь, обращается ко второй зашифрованной команде PowerShell. Согласно Trend Micro, эта команда используется для доступа к URL-адресам из paste.ee для упрощения реализации бесфайловых полезных данных.
После установки Panda Stealer может собирать такие данные, как закрытые ключи и записи прошлых транзакций, из различных кошельков цифровой валюты своей жертвы, включая Dash, Bytecoin, Litecoin и Ethereum.
Однако вредоносное ПО не ограничивается кошельками с цифровой валютой. Он крадет учетные данные других приложений, таких как Telegram, NordVPN, Discord и Steam. Он также способен делать снимки экрана зараженного компьютера, а также собирать и передавать данные из браузеров, такие как файлы cookie и пароли.
Компания Trend Micro нашла еще 264 файла, похожих на Panda Stealer, на VirusTotal. Эти образцы использовали более 140 серверов управления и контроля (C&C) и более 10 загруженных сайтов.
Некоторые из сайтов загрузки были с Discord и содержали файлы с такими именами, как «build.exe», что указывает на то, что злоумышленники могут использовать Discord для совместного использования сборки Panda Stealer.
Исследователи безопасности связали кампанию вредоносного ПО Panda Stealer с IP-адресом, назначенным виртуальным частным серверам, арендованным у Shock Hosting. Однако хостинговая компания заявила, что сервер, который она назначил этому конкретному адресу, с тех пор был приостановлен.
Panda Stealer — это настройка Collector Stealer, штамма вредоносного ПО, который, как известно, стоит всего 12 долларов на подпольных форумах. Эта вредоносная программа, также известная как DC Stealer, рекламируется как первоклассное средство для кражи информации.
Trend Micro считает, что Panda Stealer имеет отношение к Collector Stealer. Исследователи заявили: «Как киберпреступные группы, так и сценаристы могут использовать его для создания своей собственной индивидуализированной версии стилера и панели C2. Злоумышленники также могут дополнить свои кампании вредоносных программ особыми функциями от Collector Stealer».
