Panda Stealer Malware

Una nueva variante de ladrón de criptomonedas se está difundiendo a través de una campaña global de spam y potencialmente a través de los canales de Discord.

Apodado Panda Stealer, los investigadores de Trend Micro dijeron que el malware se ha encontrado dirigido a personas en países como EE. UU., Australia, Japón y Alemania.

El malware comienza su cadena de infección a través de correos electrónicos de phishing y las muestras cargadas en VirusTotal también indican que las víctimas han estado descargando ejecutables de sitios web maliciosos a través de enlaces de Discord.

Los correos electrónicos de phishing de Panda Stealer pretenden ser solicitudes de cotizaciones comerciales. Hasta ahora, se han vinculado dos métodos a la campaña: el primero de los cuales utiliza documentos .XLSM adjuntos que requieren que las víctimas habiliten macros maliciosas.

Si se permiten macros, un cargador descarga y ejecuta el ladrón principal.

En la segunda cadena, un archivo .XLS adjunto contiene una fórmula de Excel que oculta un comando de PowerShell. Este comando intenta acceder a una URL paste.ee para extraer un script de PowerShell al sistema de la víctima y luego tomar una carga útil sin archivos.

Una vez descargado, Panda Stealer intentará detectar claves y direcciones asociadas con carteras de criptomonedas que contengan fondos, incluidos Ethereum (ETH), Litecoin (LTC), Bytecoin (BCN) y Dash (DASH). Además, el malware puede tomar capturas de pantalla, filtrar datos del sistema y robar información, incluidas las cookies del navegador y las credenciales para las cuentas de NordVPN, Telegram, Discord y Steam.

Si bien la campaña no se ha atribuido a atacantes cibernéticos específicos, Trend Micro dice que un examen de los servidores de comando y control activos (C2) del malware llevó al equipo a direcciones IP y un servidor privado virtual (VPS) alquilado a Shock Hosting. Desde entonces, el servidor ha sido suspendido.

Panda Stealer es una variante de Collector Stealer, malware que se ha vendido en el pasado en foros clandestinos y a través de canales de Telegram. Desde entonces, el ladrón parece haber sido descifrado por los actores de amenazas rusos bajo el alias NCP / su1c1de.

La variedad de malware descifrado es similar pero utiliza diferentes elementos de infraestructura, como URL y carpetas C2.

Entradas relacionadas

Dejar un Comentario