Sikkerhedsforskere observerede for nylig en ny informationsstealer (infostealer) malware. Kaldet Panda Stealer, malware distribueres via spam-e-mails hovedsageligt i USA, Australien, Japan, og Tyskland. Trend Micros forskning viser, at Panda Stealer også bruger fileless teknikker at omgå detektionsmekanismer.
Panda Stealers infektionskæder
Med hensyn til kampagnens spam-tilgang, malwareoperatørerne bruger lokke-anmodninger om forretningstilbud for at narre deres potentielle ofre til at udføre skadelige Excel-filer. Forskerne har identificeret to infektionskæder:
- Den første er en .XSLM vedhæftet fil indeholder makroer der downloader en loader, som derefter downloader og udfører Panda Stealer;
- Den anden involverer en vedhæftet .XLS-fil, der indeholder en Excel-formel ved hjælp af en PowerShell-kommando for at få adgang til paste.ee, et Pastebin-alternativ, der får adgang til en anden krypteret PowerShell-kommando.
Hvilken slags information er Panda Stealer efter?
Malwaren er interesseret i data relateret til ofrenes cryptocurrency-tegnebøger, inklusive Dash, Bytecoin, Litecoin, og Ethereum:
Når det er installeret, Panda Stealer kan indsamle detaljer som private nøgler og optegnelser over tidligere transaktioner fra offerets forskellige tegnebøger med digital valuta, inklusive Dash, Bytecoin, Litecoin, og Ethereum. Det er ikke kun målrettet mod cryptocurrency-tegnebøger, det kan stjæle legitimationsoplysninger fra andre applikationer såsom NordVPN, Telegram, Discord, og damp. Det er også i stand til at tage skærmbilleder af den inficerede computer og exfiltrere data fra browsere som cookies, adgangskoder, og kort, hedder det i rapporten.
Det er bemærkelsesværdigt, at Panda Stealer deler ligheder med en anden malware kendt som Collector Stealer og DC Stealer (som er blevet revnet). Collector Stealer er blevet tilbudt til salg på et underjordisk forum og på Telegram til $12. Annonceret som en top-end informationsstealer, truslen har en russisk grænseflade. Selvom det ligner på mange måder, de to stjælere har forskellige kommandostyrings-URL'er og eksekveringsmapper. Men, begge malware-stykker exfiltrerer detaljer såsom cookies, login og webdata fra ofre, lagring af indsamlede detaljer i en SQLite3-database.
En anden bemærkelsesværdig opdagelse er, at Panda Stealer har noget til fælles med en anden malware med hensyn til dens fileløse distributionsmetoder. Det har lånt denne funktion fra den såkaldte Fair-variant af Phobos ransomware. Når værten er inficeret, malware kører i hukommelsen snarere end at gemme dens filer på harddisken.
I januar 2021, opdagede sikkerhedsforskere ElectroRAT – en "vidtrækkende operation rettet mod kryptokurrencybrugere" på alle større operativsystemer (Vinduer, MacOS, og Linux).
Den ondsindede operation var ret udførlig i sin mekanisme, bestående af en marketingkampagne, brugerdefinerede applikationer relateret til kryptokurver, og et helt nyt værktøj til fjernadgang (RAT).
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: