Des chercheurs en sécurité ont récemment observé un nouveau voleur d'informations (infostealer) les logiciels malveillants. Appelé Panda Stealer, le malware est distribué via des e-mails de spam principalement aux États-Unis, Australie, Japon, et en Allemagne. Les recherches de Trend Micro montrent que Panda Stealer utilise également techniques sans fichier pour contourner les mécanismes de détection.
Chaînes d’infection de Panda Stealer
En termes d'approches anti-spam de la campagne, les opérateurs de logiciels malveillants utilisent des demandes de devis d'entreprise pour attirer leurs victimes potentielles afin qu'elles exécutent des fichiers Excel malveillants. Les chercheurs ont identifié deux chaînes d'infection:
- Le premier est une pièce jointe .XSLM qui contient des macros qui téléchargent un chargeur qui télécharge et exécute ensuite Panda Stealer;
- Le second implique un fichier .XLS joint contenant une formule Excel utilisant une commande PowerShell pour accéder à paste.ee, une alternative à Pastebin, qui accède à une deuxième commande PowerShell chiffrée.
Quel genre d'informations est Panda Stealer après?
Le malware s'intéresse aux données relatives aux portefeuilles de crypto-monnaie des victimes, y compris Dash, Bytecoin, Litecoin, et Ethereum:
Une fois installé, Panda Stealer peut collecter des informations telles que des clés privées et des enregistrements de transactions passées à partir des différents portefeuilles de devises numériques de sa victime, y compris Dash, Bytecoin, Litecoin, et Ethereum. Non seulement il cible les portefeuilles de crypto-monnaie, il peut voler les informations d'identification d'autres applications telles que NordVPN, Télégramme, Discorde, et vapeur. Il est également capable de prendre des captures d'écran de l'ordinateur infecté et d'exfiltrer les données des navigateurs comme les cookies, les mots de passe, et cartes, le rapport.
Il est à noter que Panda Stealer partage des similitudes avec un autre malware connu sous le nom de Collector Stealer et DC Stealer. (qui a été fissuré). Collector Stealer a été mis en vente sur un forum souterrain et sur Telegram pour $12. Annoncé comme un voleur d'informations haut de gamme, la menace a une interface russe. Bien que similaire à bien des égards, les deux voleurs ont des URL de commande et de contrôle et des dossiers d'exécution différents. Cependant, les deux logiciels malveillants exfiltrent des détails tels que les cookies, connexion et données Web des victimes, stockage des détails collectés dans une base de données SQLite3.
Une autre découverte remarquable est que Panda Stealer a quelque chose en commun avec un autre malware en termes d'approches de distribution sans fichier.. Il a emprunté cette fonctionnalité à la soi-disant variante Fair de phobos ransomware. Une fois l'hôte infecté, le malware s'exécute en mémoire plutôt que de stocker ses fichiers sur le disque dur.
En janvier 2021, chercheurs en sécurité découverts ElectroRAT – une «opération de grande envergure ciblant les utilisateurs de crypto-monnaie» sur tous les principaux systèmes d'exploitation (Fenêtres, macOS, et Linux).
L'opération malveillante était assez élaborée dans son mécanisme, consistant en une campagne marketing, applications personnalisées liées aux crypto-monnaies, et un tout nouvel outil d'accès à distance (RAT).