PandaStealer je doručován ve zmanipulovaných souborech Excel maskovaných jako obchodní nabídky, zaměřených na krádež kryptoměn obětí a další informace.

Výzkumníci společnosti Trend Micro uvedli, že nový stealer poprvé spatřili v dubnu. Nejnovější vlna spamové kampaně měla největší dopad v Austrálii, Německu, Japonsku a USA.

Spamové e-maily se maskují jako žádosti o obchodní nabídky, které lákají oběti, aby klikly na nastražené soubory Excel. Vědci našli 264 souborů podobných Panda Stealerovu na VirusTotal, přičemž některé z nich sdíleli hackeři na Discordu.

To není vzhledem k nedávným trendům nepřekvapivé: tým kybernetické bezpečnosti Talos nedávno zjistil, že hackeři infiltrovali pracovní postupy a nástroje pro spolupráci, jako jsou Slack a Discord, aby proklouzli kolem zabezpečení a nastražili informační zloděje, trojské koně se vzdáleným přístupem (RAT) a další malware.

Jakmile se Panda zútulní, pokusí se vysávat podrobnosti, jako jsou soukromé klíče a minulé transakce z kryptopeněženek, včetně Bytecoin (BCN), Dash (DASH), Ethereum (ETH) a Litecoin (LTC). Kromě krádeží peněženek může také získávat pověření z aplikací, včetně NordVPN, Telegram, Discord a Steam. Panda může také pořizovat snímky obrazovky infikovaného počítače a nasávat data z prohlížečů, včetně souborů cookie a hesel.

Vědci objevili dva způsoby, jak spam infikuje oběti: V jednom řetězci infekce obsahuje příloha .XLSM makra, která stáhnou zavaděč, který provede hlavní krádež. V jiném řetězci infekce spouští příloha .XLS obsahující vzorec aplikace Excel příkaz PowerShell pro přístup k paste.ee, alternativě Pastebin, která zase přistupuje k druhému šifrovanému příkazu PowerShell.

Přečtěte si více zde: threatpost.com

@RadekVyskovsky