趋势科技最近表示,它在4月份发现了一种名为PandaStealer的信息窃取恶意软件,该恶意软件正在通过垃圾邮件在澳大利亚、德国、日本和日本传播。美国已经有很多受害者。通过电子邮件发送伪造的企业报价请求表,以诱使受害者执行恶意Excel文件。研究人员在VirusTotal上发现了264个可疑的PandaStealer文件,其中一些托管在Discord上。思科最近还发现,攻击者已经渗透到Slack和Discord等协作工具中,以部署RAT和其他恶意软件来逃避检测。趋势科技认为,攻击者可能会利用Discord为PandaStealer构建分发渠道。感染分布一旦攻击成功,PandaStealer将从Bytecoin(BCN)、Dash(DASH)、Ethereum(ETH)和Litecoin(LTC)等加密货币钱包中获取私钥和??历史交易记录等详细信息。除了窃取加密货币外,还会从NordVPN、Telegram、Discord和Steam等特定应用程序中窃取凭据。PandaStealer还能够窃取受感染主机的屏幕截图,并从浏览器窃取cookie和密码等隐私信息。PandaStealer有两种感染方式。执行包含宏代码的XLSM文件,宏代码下载一个Downloader,执行信息窃取程序:执行包含公式的XLS文件,触发PowerShell请求paste.ee(pastebin的替代品)。也称为DCStealer的变体),CollectorStealer在地下市场和Telegram上的售价低至12美元。运营商宣传这是一款具有俄语界面的高端信息窃取工具。尽管行为相似,但CollectorStealer和PandaStealer并不共享相同的命令和控制(C2)URL结构或执行文件夹。但是两者都窃取cookie等隐私数据,并存储在SQLite3数据库中。CollectorStealer已被破解并可在Internet上免费获取,任何人都可以使用它来自定义恶意软件和C&C面板。无文件攻击PandaStealer不仅借鉴了CollectorStealer,还借鉴了Phobos勒索软件同样的无文件感染方式。Mandiant的首席逆向工程师DimiterAndonov表示,使用无文件技术是高级恶意软件的标志。PandaStealer将文件移动到Temp文件夹中,以随机文件名存储窃取的信息并将其发送到C&C服务器。它的C&C服务器有一个名为“PandaStealer”的登录页面,因此命名为PandaStealer。研究人员还在其中一台服务器的日志中发现了14名受害者和疑似攻击者使用的IP地址。攻击者使用的IP地址托管在从ShockHosting租用的主机上,趋势科技将发现报告给ShockHosting,后者已被正式关闭。参考来源:TrendMicroThreatPOST
