Los investigadores de seguridad observaron recientemente a un nuevo ladrón de información (Infostealer) el malware. Llamado Panda Stealer, el malware se distribuye a través de correos electrónicos no deseados principalmente en los EE. UU., Australia, Japón, y Alemania. La investigación de Trend Micro muestra que Panda Stealer también está utilizando técnicas sin archivos para evitar los mecanismos de detección.
Cadenas de infección de Panda Stealer
En cuanto a los enfoques de spam de la campaña, Los operadores de malware están utilizando atractivas solicitudes de cotizaciones comerciales para engañar a sus víctimas potenciales para que ejecuten archivos de Excel maliciosos.. Los investigadores han identificado dos cadenas de infección.:
- El primero es un archivo adjunto .XSLM que contiene macros que descargan un cargador que luego descarga y ejecuta Panda Stealer;
- El segundo involucra un archivo .XLS adjunto que contiene una fórmula de Excel usando un comando de PowerShell para acceder a paste.ee, una alternativa a Pastebin, que accede a un segundo comando de PowerShell cifrado.
¿Qué tipo de información busca Panda Stealer??
El malware está interesado en datos relacionados con las carteras de criptomonedas de las víctimas., incluyendo Dash, Bytecoin, Litecoin, y Ethereum:
Una vez instalado, Panda Stealer puede recopilar detalles como claves privadas y registros de transacciones pasadas de las diversas carteras de moneda digital de su víctima., incluyendo Dash, Bytecoin, Litecoin, y Ethereum. No solo apunta a carteras de criptomonedas, puede robar credenciales de otras aplicaciones como NordVPN, Telegrama, Discordia, y Steam. También es capaz de tomar capturas de pantalla de la computadora infectada y extraer datos de navegadores como cookies., contraseñas, y cartas, el informe dice.
Cabe destacar que Panda Stealer comparte similitudes con otro malware conocido como Collector Stealer y DC Stealer. (que ha sido agrietado). Collector Stealer se ha ofrecido a la venta en un foro clandestino y en Telegram para $12. Anunciado como un ladrón de información de primer nivel, la amenaza tiene una interfaz rusa. Aunque similar en muchos sentidos, los dos ladrones tienen diferentes URL de comando y control y carpetas de ejecución. Sin embargo, Ambas piezas de malware exfiltran detalles como cookies., datos de inicio de sesión y web de las víctimas, almacenar los detalles recopilados en una base de datos SQLite3.
Otro descubrimiento digno de mención es que Panda Stealer tiene algo en común con otro malware en términos de sus enfoques de distribución sin archivos.. Ha tomado prestada esta característica de la denominada variante justa de ransomware Fobos. Una vez que el anfitrión está infectado, el malware se ejecuta en la memoria en lugar de almacenar sus archivos en el disco duro.
En Enero 2021, investigadores de seguridad descubiertos ElectroRAT – una "operación de amplio alcance dirigida a usuarios de criptomonedas" en todos los principales sistemas operativos (Ventanas, Mac OS, y Linux).
La operación maliciosa fue bastante elaborada en su mecanismo., que consiste en una campaña de marketing, aplicaciones personalizadas relacionadas con las criptomonedas, y una herramienta de acceso remoto completamente nueva (RATA).