Panda Stealer:當心你的加密貨幣錢包被竊
趨勢科技近日表示在4月發(fā)現(xiàn)了名為Panda Stealer的信息竊取惡意軟件,該惡意軟件正在通過垃圾郵件進行傳播,在澳大利亞、德國、日本和美國已經(jīng)存在很多受害者。
郵件偽造的企業(yè)報價請求單,引誘受害者執(zhí)行惡意Excel文件。研究人員在VirusTotal上發(fā)現(xiàn)了264個疑似是Panda Stealer的文件,其中有一些托管在Discord上。
思科最近也發(fā)現(xiàn)攻擊者已經(jīng)滲透到協(xié)作工具(例如Slack和Discord)當中,以逃避檢測部署RAT與其他惡意軟件。趨勢科技認為,攻擊者可能重用Discord來構建Panda Stealer的分發(fā)渠道。
感染分發(fā)
一旦攻擊成功,Panda Stealer會從Bytecoin(BCN)、Dash(DASH)、以太坊(ETH)和Litecoin(LTC)等加密貨幣錢包中獲取諸如私鑰和歷史交易記錄等詳細信息。除竊取加密貨幣外,還會從特定應用程序(如NordVPN、Telegram、Discord和Steam)中竊取憑據(jù)。Panda Stealer也能夠竊取失陷主機的屏幕快照,并從瀏覽器中竊取Cookie和密碼等私密信息。
Panda Stealer有兩種方式進行感染。
包含宏代碼的XLSM文件執(zhí)行,宏代碼下載一個Downloader,由它執(zhí)行信息竊取程序:
包含公式的XLS文件執(zhí)行,觸發(fā)PowerShell請求paste.ee(pastebin的替代品)
竊密家族
Panda Stealer是惡意軟件Collector Stealer(也叫DC Stealer)的變種,Collector Stealer在地下市場和Telegram上的售價僅為12美元。運營方宣傳這是高端信息竊密工具,還附帶俄語界面。
盡管行為類似,但是Collector Stealer和Panda Stealer并沒有共享相同的命令和控制(C2)URL結構或執(zhí)行文件夾。但二者都竊取Cookie等隱私數(shù)據(jù)并存儲在SQLite3數(shù)據(jù)庫中。
Collector Stealer已經(jīng)被破解了,在互聯(lián)網(wǎng)上可以免費獲得,任何人都可以使用其來定制惡意軟件和C&C面板。
無文件攻擊
Panda Stealer不僅師承Collector Stealer,還從Phobos勒索軟件處借鑒了相同的無文件感染方式。Mandiant的首席逆向工程師Dimiter Andonov表示,使用無文件技術是高級惡意軟件的標志。
Panda Stealer將文件移動到Temp文件夾中,以隨機文件名存儲被竊信息并將其發(fā)送到C&C服務器。其C&C服務器都帶有名為“熊貓Stealer”的登錄頁面,故而命名為Panda Stealer。
研究人員還在其中一臺服務器的日志中發(fā)現(xiàn)了14位受害者與疑似攻擊者使用的IP地址。攻擊者使用的IP地址托管在從Shock Hosting租用的主機上,趨勢科技將這一發(fā)現(xiàn)報告給了Shock Hosting后被官方關停。
參考來源:
