Phần mềm độc hại Panda Stealer nhắm mục tiêu vào các loại tiền kỹ thuật số thông qua các liên kết bất hòa, email rác

Có một phần mềm độc hại mới đang nhắm mục tiêu vào các ví tiền kỹ thuật số, lây lan qua email spam và các kênh Discord. Phần mềm độc hại có tên Panda Stealer, chủ yếu nhắm vào các nạn nhân ở Hoa Kỳ, Đức, Nhật Bản và Úc.

Công ty bảo mật Trend Micro là công ty đầu tiên phát hiện ra phần mềm độc hại này. Trong một bài đăng trên blog gần đây, công ty có trụ sở tại Tokyo đã tiết lộ rằng Panda Stealer được gửi thông qua các email spam giả dạng báo giá kinh doanh để dụ những nạn nhân không nghi ngờ mở các tệp Excel độc hại.

Phần mềm độc hại có hai chuỗi lây nhiễm, công ty bảo mật tiết lộ. Đầu tiên, bọn tội phạm đính kèm một tài liệu .XLSM có chứa các macro độc hại. Khi nạn nhân bật macro, phần mềm độc hại sẽ tải xuống và thực thi kẻ ăn cắp chính.

Trong chuỗi lây nhiễm thứ hai, các email spam đi kèm với tệp đính kèm .XLS chứa công thức Excel ẩn lệnh PowerShell. Lệnh này cố gắng truy cập paste.ee, một giải pháp thay thế Pastebin, lần lượt truy cập vào lệnh PowerShell được mã hóa thứ hai. Theo Trend Micro, lệnh này được sử dụng để truy cập URL từ paste.ee để dễ dàng triển khai các tải trọng không có bộ lọc.

Công ty lưu ý:

“Sau khi được cài đặt, Panda Stealer có thể thu thập các chi tiết như khóa cá nhân và hồ sơ về các giao dịch trước đây từ các ví tiền kỹ thuật số khác nhau của nạn nhân, bao gồm Dash, Bytecoin, Litecoin và Ethereum”.

Tuy nhiên, phần mềm độc hại không tự giới hạn trong ví tiền kỹ thuật số. Nó đánh cắp thông tin đăng nhập vào các ứng dụng khác như Telegram, NordVPN, Discord và Steam. Nó cũng có khả năng chụp ảnh màn hình của máy tính bị nhiễm virus và thu thập và truyền dữ liệu từ các trình duyệt như cookie và mật khẩu.

Trend Micro đã tìm thấy 264 tệp khác tương tự như Panda Stealer trên VirusTotal. Hơn 140 máy chủ lệnh và điều khiển (C&C) và hơn 10 trang web đã tải xuống đã được sử dụng bởi các mẫu này.

Nó kết luận,

“Một số trang web tải xuống là từ Discord, chứa các tệp có tên như” build.exe “, điều này cho thấy rằng các tác nhân đe dọa có thể đang sử dụng Discord để chia sẻ bản dựng Panda Stealer.”

Các nhà nghiên cứu bảo mật đã liên kết chiến dịch phần mềm độc hại Panda Stealer với một địa chỉ IP được chỉ định cho các máy chủ riêng ảo thuê từ Shock Hosting. Tuy nhiên, công ty lưu trữ tuyên bố rằng máy chủ mà họ đã gán cho địa chỉ cụ thể này đã bị tạm ngừng.

Panda Stealer là một bản chỉnh sửa của Collector Stealer, một loại phần mềm độc hại được biết đến với giá chỉ 12 đô la trên các diễn đàn ngầm. Còn được gọi là DC Stealer, phần mềm độc hại này được quảng cáo là kẻ đánh cắp thông tin cấp cao nhất.

Trend Micro tin rằng Panda Stealer có liên quan đến Collector Stealer. Các nhà nghiên cứu tuyên bố,

“Các nhóm tội phạm mạng và những đứa trẻ tập lệnh đều có thể sử dụng nó để tạo ra phiên bản trình đánh cắp và bảng điều khiển C2 tùy chỉnh của riêng họ. Các tác nhân đe dọa cũng có thể tăng cường các chiến dịch phần mềm độc hại của họ bằng các tính năng cụ thể từ Collector Stealer.”

Gần đây

Bài viết liên quan

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây