セキュリティ研究者は最近、新しい情報スティーラーを観察しました (infostealer) マルウェア. パンダスティーラーと呼ばれる, マルウェアは主に米国でスパムメールを介して配布されます, オーストラリア, 日本, およびドイツ. トレンドマイクロの調査によると、パンダスティーラーも利用しています ファイルレステクニック 検出メカニズムをバイパスする.
パンダスティーラーの感染チェーン
キャンペーンのスパムアプローチに関して, マルウェアオペレーターは、誘惑するビジネス見積もり要求を使用して、潜在的な被害者をだまして悪意のあるExcelファイルを実行させています。. 研究者は2つの感染連鎖を特定しました:
- 1つ目は、.XSLMアタッチメントです。 マクロが含まれています ローダーをダウンロードし、パンダスティーラーをダウンロードして実行します;
- 2つ目は、PowerShellコマンドを使用してpaste.eeにアクセスするExcel数式を含む添付の.XLSファイルです。, Pastebinの代替品, 2番目の暗号化されたPowerShellコマンドにアクセスします.
パンダスティーラーはどんな情報を?
マルウェアは、被害者の暗号通貨ウォレットに関連するデータに関心があります, ダッシュを含む, Bytecoin, ライトコイン, とイーサリアム:
インストールしたら, パンダスティーラーは、被害者のさまざまなデジタル通貨ウォレットから秘密鍵や過去の取引の記録などの詳細を収集できます, ダッシュを含む, Bytecoin, ライトコイン, とイーサリアム. 暗号通貨ウォレットをターゲットにするだけではありません, NordVPNなどの他のアプリケーションから資格情報を盗むことができます, 電報, 不和, とSteam. また、感染したコンピューターのスクリーンショットを撮り、Cookieなどのブラウザーからデータを盗み出すこともできます。, パスワード, とカード, レポートによると.
パンダスティーラーがコレクタースティーラーおよびDCスティーラーとして知られている別のマルウェアと類似点を共有していることは注目に値します (ひびが入った). Collector Stealerは、アンダーグラウンドフォーラムおよびTelegramで販売されています。 $12. トップエンドの情報スティーラーとして宣伝, 脅威にはロシアのインターフェースがあります. 多くの点で似ていますが, 2つのスティーラーは異なるコマンドアンドコントロールURLと実行フォルダーを持っています. でも, 両方のマルウェアがCookieなどの詳細を盗み出します, 被害者からのログインとWebデータ, 収集した詳細をSQLite3データベースに保存する.
もう1つの注目すべき発見は、Panda Stealerが、ファイルレス配布アプローチの点で別のマルウェアと共通点があることです。. この機能は、いわゆるFairバリアントから借用しています。 Phobosランサムウェア. ホストが感染したら, マルウェアは、ファイルをハードドライブに保存するのではなく、メモリ内で実行されます.
1月に 2021, セキュリティ研究者が発見 ElectroRAT – すべての主要なオペレーティングシステムでの「暗号通貨ユーザーを対象とした広範囲の操作」 (ウィンドウズ, マックOS, およびLinux).
悪意のある操作は、そのメカニズムが非常に複雑でした, マーケティングキャンペーンで構成されています, 暗号通貨に関連するカスタムアプリケーション, まったく新しいリモートアクセスツール (ねずみ).
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: