Pesquisadores de segurança observaram recentemente um novo ladrão de informações (Infostealer) malwares. Chamado de ladrão de panda, o malware é distribuído por meio de e-mails de spam, principalmente nos EUA, Austrália, Japão, e Alemanha. A pesquisa da Trend Micro mostra que o Panda Stealer também está utilizando técnicas sem arquivo para contornar os mecanismos de detecção.
Cadeias de infecção do Panda Stealer
Em termos de abordagens de spam da campanha, os operadores de malware estão usando solicitações de cotação de negócios atraentes para enganar suas vítimas em potencial para que executem arquivos Excel maliciosos. Os pesquisadores identificaram duas cadeias de infecção:
- O primeiro é um anexo .XSLM que contém macros que baixam um carregador que então baixa e executa o Panda Stealer;
- O segundo envolve um arquivo .XLS anexado contendo uma fórmula do Excel usando um comando do PowerShell para acessar paste.ee, uma alternativa ao Pastebin, que acessa um segundo comando criptografado do PowerShell.
Que tipo de informação é o Panda Stealer depois?
O malware está interessado em dados relacionados às carteiras de criptomoedas das vítimas, incluindo Dash, Bytecoin, litecoin, e Ethereum:
Uma vez instalado, O Panda Stealer pode coletar detalhes como chaves privadas e registros de transações anteriores de várias carteiras de moedas digitais de sua vítima, incluindo Dash, Bytecoin, litecoin, e Ethereum. Não só visa carteiras de criptomoedas, ele pode roubar credenciais de outros aplicativos, como NordVPN, Telegrama, Discórdia, e Steam. Também é capaz de fazer capturas de tela do computador infectado e exfiltrar dados de navegadores como cookies, senhas, e cartas, diz o relatório.
Vale ressaltar que o Panda Stealer compartilha semelhanças com outro malware conhecido como Collector Stealer e DC Stealer (que foi rachado). Ladrão de colecionadores foi colocado à venda em um fórum clandestino e no Telegram por $12. Anunciado como um ladrão de informações de ponta, a ameaça tem uma interface russa. Embora semelhante em muitos aspectos, os dois ladrões têm diferentes URLs de comando e controle e pastas de execução. Contudo, ambas as partes do malware exfilam detalhes como cookies, dados de login e web das vítimas, armazenar detalhes coletados em um banco de dados SQLite3.
Outra descoberta digna de nota é que o Panda Stealer tem algo em comum com outro malware em termos de suas abordagens de distribuição sem arquivo. Ele pegou emprestado esse recurso da chamada variante Fair de Phobos ransomware. Assim que o hospedeiro estiver infectado, o malware é executado na memória em vez de armazenar seus arquivos no disco rígido.
Em janeiro 2021, pesquisadores de segurança descobriram ElectroRAT – uma “operação abrangente visando usuários de criptomoedas” em todos os principais sistemas operacionais (janelas, Mac OS, e Linux).
A operação maliciosa era bastante elaborada em seu mecanismo, consistindo em uma campanha de marketing, aplicativos personalizados relacionados a criptomoedas, e uma ferramenta de acesso remoto totalmente nova (RATO).