已有受害者通過 Discord 鏈接,從惡意網站下載瞭可執行文件。
安全研究人員指出,Panda Stealer 會在釣魚郵件中將自身偽裝成企業詢價。在欺騙受害者打開瞭 .XLSM 後綴的文件並啟用宏操作後,惡意軟件就會嘗試下載並執行主竊取程序。
此外 Panda Stealer 還有另一種感染途徑,通過在 .XLS 格式的附件中插入一個隱藏瞭 PowerShell 命令 Excel 公式,惡意軟件會在觸發後嘗試訪問 paste.ee 這個網址,以將 PowerShell 腳本引入受害者的系統。
惡意網址與文件(來自:Trend Micro)
Trend Micro 表示,Visual Basic 中的 CallByName 導出功能,被攻擊者用於從 paste.ee 網址調用內存中的 .NET 程序集。
通過 Agile.NET 混淆器加載的程序集,將把合法的 MSBuild.exe 進程掏空,然後用攻擊者的有效負載替換(來自另一個 paste.ee 網址的十六進制編碼的 Panda Stealer 二進制文件)。
Panda Stealer 的屏幕截圖
下載完成後,Panda Stealer 將檢測與以太坊(ETH)、萊特幣(LTC)、字節幣(BCN)、達世幣(DASH)等加密貨幣有關的錢包密鑰和地址。
此外該惡意軟件能夠屏幕截圖、泄露系統數據、以及竊取信息,包括瀏覽器 Cookie、NordVPN、Telegram、Discord、以及 Steam 賬戶的憑據。
叫賣收集來的數據的 Telegram 頻道
通過對攻擊鏈條和惡意軟件分發方式的分析,Trend Micro 認為 Panda Stealer 與 Phobos 勒索軟件(以及 4 月份報告中提到的 LockBit)存在許多相似之處。
盡管未將該活動歸因於特定的網絡攻擊者,但 Trend Micro 還是順著命令與控制服務器,反向找到瞭幕後黑手的 IP 地址、以及從 Shock Hosting 租用的 VPS 服務器(後者已處於被掛起的狀態)。
留言列表
