I ricercatori di sicurezza hanno recentemente osservato un nuovo ladro di informazioni (Infostealer) il malware. Chiamato Panda Stealer, il malware viene distribuito tramite e-mail di spam principalmente negli Stati Uniti, Australia, Giappone, e la Germania. La ricerca di Trend Micro mostra che anche Panda Stealer sta utilizzando tecniche senza file aggirare i meccanismi di rilevamento.
Catene di infezioni di Panda Stealer
In termini di approcci antispam della campagna, gli operatori di malware utilizzano richieste di preventivo aziendali per indurre le loro potenziali vittime a eseguire file Excel dannosi. I ricercatori hanno identificato due catene di infezione:
- Il primo è un allegato .XSLM that contiene macro che scarica un caricatore che poi scarica ed esegue Panda Stealer;
- Il secondo riguarda un file .XLS allegato contenente una formula Excel utilizzando un comando PowerShell per accedere a paste.ee, un'alternativa a Pastebin, che accede a un secondo comando di PowerShell crittografato.
Che tipo di informazioni sta cercando Panda Stealer?
Il malware è interessato ai dati relativi ai portafogli di criptovaluta delle vittime, compreso Dash, Bytecoin, Litecoin, ed Ethereum:
Una volta installato, Panda Stealer può raccogliere dettagli come chiavi private e registrazioni di transazioni passate dai vari portafogli di valuta digitale della vittima, compreso Dash, Bytecoin, Litecoin, ed Ethereum. Non solo prende di mira i portafogli di criptovaluta, può rubare credenziali da altre applicazioni come NordVPN, Telegramma, Discordia, e Steam. È anche in grado di acquisire screenshot del computer infetto ed esfiltrare dati da browser come i cookie, password, e carte, il rapporto dice.
È interessante notare che Panda Stealer condivide somiglianze con un altro malware noto come Collector Stealer e DC Stealer (che è stato crackato). Collector Stealer è stato offerto in vendita su un forum sotterraneo e su Telegram per $12. Pubblicizzato come un ladro di informazioni di fascia alta, la minaccia ha un'interfaccia russa. Sebbene simile in molti modi, i due ladri hanno URL di comando e controllo e cartelle di esecuzione differenti. Tuttavia, entrambi i pezzi di malware esfiltrano dettagli come i cookie, dati di accesso e web delle vittime, memorizzare i dettagli raccolti in un database SQLite3.
Un'altra scoperta degna di nota è che Panda Stealer ha qualcosa in comune con un altro malware in termini di approccio alla distribuzione senza file. Ha preso in prestito questa caratteristica dalla cosiddetta variante Fair di Phobos ransomware. Una volta che l'host è stato infettato, il malware viene eseguito in memoria anziché archiviare i propri file sul disco rigido.
A gennaio 2021, hanno scoperto i ricercatori della sicurezza ElectroRAT – una "operazione ad ampio raggio rivolta agli utenti di criptovaluta" su tutti i principali sistemi operativi (Windows, Mac OS, e Linux).
L'operazione dannosa era piuttosto elaborata nel suo meccanismo, costituito da una campagna di marketing, applicazioni personalizzate relative alle criptovalute, e uno strumento di accesso remoto completamente nuovo (RAT).