Panda Stealer:當心你的加密貨幣錢包被竊
趨勢科技近日表示在4月發現了名為Panda Stealer的信息竊取惡意軟件,該惡意軟件正在通過垃圾郵件進行傳播,在澳大利亞、德國、日本和美國已經存在很多受害者。
郵件偽造的企業報價請求單,引誘受害者執行惡意Excel文件。研究人員在VirusTotal上發現了264個疑似是Panda Stealer的文件,其中有一些托管在Discord上。
思科最近也發現攻擊者已經滲透到協作工具(例如Slack和Discord)當中,以逃避檢測部署RAT與其他惡意軟件。趨勢科技認為,攻擊者可能重用Discord來構建Panda Stealer的分發渠道。
感染分發
一旦攻擊成功,Panda Stealer會從Bytecoin(BCN)、Dash(DASH)、以太坊(ETH)和Litecoin(LTC)等加密貨幣錢包中獲取諸如私鑰和歷史交易記錄等詳細信息。除竊取加密貨幣外,還會從特定應用程序(如NordVPN、Telegram、Discord和Steam)中竊取憑據。Panda Stealer也能夠竊取失陷主機的屏幕快照,并從瀏覽器中竊取Cookie和密碼等私密信息。
Panda Stealer有兩種方式進行感染。
包含宏代碼的XLSM文件執行,宏代碼下載一個Downloader,由它執行信息竊取程序:
包含公式的XLS文件執行,觸發PowerShell請求paste.ee(pastebin的替代品)
竊密家族
Panda Stealer是惡意軟件Collector Stealer(也叫DC Stealer)的變種,Collector Stealer在地下市場和Telegram上的售價僅為12美元。運營方宣傳這是高端信息竊密工具,還附帶俄語界面。
盡管行為類似,但是Collector Stealer和Panda Stealer并沒有共享相同的命令和控制(C2)URL結構或執行文件夾。但二者都竊取Cookie等隱私數據并存儲在SQLite3數據庫中。
Collector Stealer已經被破解了,在互聯網上可以免費獲得,任何人都可以使用其來定制惡意軟件和C&C面板。
無文件攻擊
Panda Stealer不僅師承Collector Stealer,還從Phobos勒索軟件處借鑒了相同的無文件感染方式。Mandiant的首席逆向工程師Dimiter Andonov表示,使用無文件技術是高級惡意軟件的標志。
Panda Stealer將文件移動到Temp文件夾中,以隨機文件名存儲被竊信息并將其發送到C&C服務器。其C&C服務器都帶有名為“熊貓Stealer”的登錄頁面,故而命名為Panda Stealer。
研究人員還在其中一臺服務器的日志中發現了14位受害者與疑似攻擊者使用的IP地址。攻擊者使用的IP地址托管在從Shock Hosting租用的主機上,趨勢科技將這一發現報告給了Shock Hosting后被官方關停。
參考來源:
