Beveiligingsonderzoekers hebben onlangs een nieuwe informatiediefstal waargenomen (infostealer) malware. Panda Stealer genoemd, de malware wordt voornamelijk in de VS verspreid via spam-e-mails, Australië, Japan, en Duitsland. Uit onderzoek van Trend Micro blijkt dat Panda Stealer ook gebruikmaakt van bestandsloze technieken om detectiemechanismen te omzeilen.
De infectieketens van Panda Stealer
In termen van de spambenaderingen van de campagne, de malwarebedrijven gebruiken lokkende zakelijke offerteaanvragen om hun potentiële slachtoffers te misleiden tot het uitvoeren van kwaadaardige Excel-bestanden. De onderzoekers hebben twee infectieketens geïdentificeerd:
- De eerste is een .XSLM-bijlage die bevat macro's die een lader downloaden die vervolgens Panda Stealer downloadt en uitvoert;
- De tweede betreft een bijgevoegd .XLS-bestand met een Excel-formule met behulp van een PowerShell-opdracht om paste.ee te openen, een Pastebin-alternatief, die toegang heeft tot een tweede gecodeerde PowerShell-opdracht.
Naar wat voor soort informatie is Panda Stealer?
De malware is geïnteresseerd in gegevens met betrekking tot de cryptocurrency-wallets van slachtoffers, inclusief Dash, Bytecoin, Litecoin, en Ethereum:
Eenmaal geïnstalleerd, Panda Stealer kan details zoals privésleutels en records van eerdere transacties verzamelen uit de verschillende digitale valutaportefeuilles van het slachtoffer, inclusief Dash, Bytecoin, Litecoin, en Ethereum. Het richt zich niet alleen op portefeuilles met cryptocurrency, het kan inloggegevens stelen van andere applicaties zoals NordVPN, Telegram, Onenigheid, en stoom. Het is ook in staat om schermafbeeldingen te maken van de geïnfecteerde computer en gegevens uit browsers zoals cookies te exfiltreren, wachtwoorden, en kaarten, in het verslag staat.
Het is opmerkelijk dat Panda Stealer overeenkomsten vertoont met een andere malware die bekend staat als Collector Stealer en DC Stealer (die is gebarsten). Collector Stealer is te koop aangeboden op een ondergronds forum en op Telegram voor $12. Geadverteerd als een eersteklas informatiediefstal, de dreiging heeft een Russische interface. Hoewel in veel opzichten vergelijkbaar, de twee stealers hebben verschillende command-and-control-URL's en uitvoeringsmappen. Echter, beide malwarestukken exfiltreren details zoals cookies, login en webgegevens van slachtoffers, het opslaan van verzamelde gegevens in een SQLite3-database.
Een andere opmerkelijke ontdekking is dat Panda Stealer iets gemeen heeft met andere malware in termen van bestandsloze distributie. Het heeft deze functie geleend van de zogenaamde Fair-variant van Phobos ransomware. Zodra de host is geïnfecteerd, de malware draait in het geheugen in plaats van de bestanden op de harde schijf op te slaan.
In januari 2021, ontdekten beveiligingsonderzoekers ElectroRAT – een "uitgebreide operatie gericht op gebruikers van cryptocurrency" op alle grote besturingssystemen (Windows, MacOS, en Linux).
De kwaadaardige operatie was behoorlijk ingewikkeld in zijn mechanisme, bestaande uit een marketingcampagne, aangepaste applicaties met betrekking tot cryptocurrencies, en een geheel nieuwe Remote Access Tool (RAT).
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: