Panda Stealer забрасывает файлы Excel и распространяется через Discord для кражи криптовалюты пользователей

Новый вариант кражи криптовалюты распространяется через глобальную спам-кампанию и, возможно, через каналы Discord.

Исследователи Trend Micro назвали Panda Stealer сказал на этой неделе что вредоносное ПО было обнаружено против отдельных лиц в разных странах, включая США, Австралию, Японию и Германию.

Цепочка заражения вредоносного ПО начинается с фишинговых писем и образцов, загруженных на VirusTotal. также указывают на то, что жертвы загружали исполняемые файлы с вредоносных веб-сайтов через Discord. ссылки.

Фишинговые электронные письма Panda Stealer выдают себя за запросы коммерческих предложений. На данный момент с кампанией связаны два метода: первый из них использует прикрепленные документы .XLSM, требующие от жертв включения вредоносных макросов.

Если макросы разрешены, загрузчик загружает и запускает основной стилер.

Во второй цепочке прикрепленный файл .XLS содержит формулу Excel, скрывающую команду PowerShell. Эта команда пытается получить доступ к URL-адресу Paste.ee, чтобы загрузить сценарий PowerShell в систему жертвы, а затем получить бесфайловую полезную нагрузку.

«Функция экспорта CallByName в Visual Basic используется для вызова загрузки сборки .NET в памяти с помощью URL-адреса Paste.ee», — сообщает Trend Micro. «Загруженная сборка, запутанная с помощью Agile. NET, удаляет законный процесс MSBuild.exe и заменяет его полезной нагрузкой: двоичным файлом Panda Stealer в шестнадцатеричной кодировке из другого URL-адреса Paste.ee».

После загрузки Panda Stealer попытается обнаружить ключи и адреса, связанные с криптовалютными кошельками, в которых хранятся средства, включая Ethereum (ETH), Litecoin (LTC), Bytecoin (BCN) и Dash (DASH). Кроме того, вредоносное ПО способно делать снимки экрана, извлекать системные данные и красть информацию, включая файлы cookie браузера и учетные данные для учетных записей NordVPN, Telegram, Discord и Steam.

Несмотря на то, что кампания не была приписана конкретным кибератакам, Trend Micro сообщает, что проверка вредоносного ПО активные серверы управления и контроля (C2) привели команду к IP-адресам и виртуальному частному серверу (VPS), арендованному у Shock. Хостинг. С тех пор сервер был приостановлен.

Panda Stealer — это вариант Collector Stealer, вредоносного ПО, которое в прошлом продавалось на подпольных форумах и через каналы Telegram. С тех пор похититель, судя по всему, был треснутый со стороны российских злоумышленников под псевдонимом NCP/su1c1de.

Взломанная разновидность вредоносного ПО аналогична, но использует другие элементы инфраструктуры, такие как URL-адреса C2 и папки.

«Поскольку взломанная сборка Collector Stealer находится в открытом доступе в Интернете, группы киберпреступников и скрипты дети могут использовать его для создания своей собственной версии стилера и панели C2», — говорят исследователи. примечание. «Злоумышленники также могут дополнить свои кампании по вредоносному ПО специальными функциями Collector Stealer».

Trend Micro утверждает, что цепочка атак и метод бесфайлового распространения схожи с программой-вымогателем Phobos. В частности, как описал Морфизек, «справедливый» вариант Фобоса аналогичен подходу к распространению и сейчас находится на стадии разработки. постоянно обновляется, чтобы уменьшить свое влияние, например, снизить требования к шифрованию, чтобы оставаться вне поля зрения до тех пор, пока возможный.

Исследователи также отметили корреляцию между Фобосом и LockBit. Отчет за апрель 2021 г..

Предыдущее и связанное освещение

• WeSteal: «бесстыдный» похититель криптовалюты, продаваемый в подполье
  
• Этот ботнет злоупотребляет блокчейнами биткойнов, чтобы оставаться в тени
  
• Худшие нарушения криптовалют, кражи и мошенничества с выходом в 2020 году
  

---

Есть подсказка? Безопасная связь через WhatsApp | Позвоните по номеру +447713 025 499 или по телефону Keybase: charlie0.

---