freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Panda Stealer:当心你的加密货币钱包被窃
2021-05-06 21:54:45

趋势科技近日表示在4月发现了名为Panda Stealer的信息窃取恶意软件,该恶意软件正在通过垃圾邮件进行传播,在澳大利亚、德国、日本和美国已经存在很多受害者

邮件伪造的企业报价请求单,引诱受害者执行恶意Excel文件。研究人员在VirusTotal上发现了264个疑似是Panda Stealer的文件,其中有一些托管在Discord上。

思科最近也发现攻击者已经渗透到协作工具(例如Slack和Discord)当中,以逃避检测部署RAT与其他恶意软件。趋势科技认为,攻击者可能重用Discord来构建Panda Stealer的分发渠道。

感染分发

一旦攻击成功,Panda Stealer会从Bytecoin(BCN)、Dash(DASH)、以太坊(ETH)和Litecoin(LTC)等加密货币钱包中获取诸如私钥和历史交易记录等详细信息。除窃取加密货币外,还会从特定应用程序(如NordVPN、Telegram、Discord和Steam)中窃取凭据。Panda Stealer也能够窃取失陷主机的屏幕快照,并从浏览器中窃取Cookie和密码等私密信息

Panda Stealer有两种方式进行感染。

包含宏代码的XLSM文件执行,宏代码下载一个Downloader,由它执行信息窃取程序

包含公式的XLS文件执行,触发PowerShell请求paste.ee(pastebin的替代品)

窃密家族

Panda Stealer是恶意软件Collector Stealer(也叫DC Stealer)的变种,Collector Stealer在地下市场和Telegram上的售价仅为12美元。运营方宣传这是高端信息窃密工具,还附带俄语界面。

尽管行为类似,但是Collector Stealer和Panda Stealer并没有共享相同的命令和控制(C2)URL结构或执行文件夹。但二者都窃取Cookie等隐私数据并存储在SQLite3数据库中。

Collector Stealer已经被破解了,在互联网上可以免费获得,任何人都可以使用其来定制恶意软件和C&C面板。

无文件攻击

Panda Stealer不仅师承Collector Stealer,还从Phobos勒索软件处借鉴了相同的无文件感染方式。Mandiant的首席逆向工程师Dimiter Andonov表示,使用无文件技术是高级恶意软件的标志

Panda Stealer将文件移动到Temp文件夹中,以随机文件名存储被窃信息并将其发送到C&C服务器。其C&C服务器都带有名为“熊猫Stealer”的登录页面,故而命名为Panda Stealer

研究人员还在其中一台服务器的日志中发现了14位受害者与疑似攻击者使用的IP地址。攻击者使用的IP地址托管在从Shock Hosting租用的主机上,趋势科技将这一发现报告给了Shock Hosting后被官方关停。

参考来源

TrendMicro

ThreatPOST

# 加密货币 # 信息窃取 # Panda Stealer
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录