查看: 1239|回复: 2
收起左侧

[IT业界] 窃取加密货币钱包:趋势科技曝光Panda Stealer恶意软件更多细节

[复制链接]
蓝天二号
发表于 2021-5-6 16:33:49 | 显示全部楼层 |阅读模式
本周,趋势科技(Trend Micro)安全研究人员分享了有关“Panda Stealer”恶意软件的详情。可知除了垃圾邮件、攻击者还选择了将它放入 Excel 文档并通过 Discord 渠道进行传播,以窃取用户的加密货币。由目前上传至 VirusTotal 的样本和调查分析可知,该恶意软件以波及美国、澳大利亚、日本和德国等地,且感染链条通常可追溯到一封网络钓鱼邮件。
d805b7552fb45a8.png
已有受害者通过 Discord 链接,从恶意网站下载了可执行文件。

安全研究人员指出,Panda Stealer 会在钓鱼邮件中将自身伪装成企业询价。在欺骗受害者打开了 .XLSM 后缀的文件并启用宏操作后,恶意软件就会尝试下载并执行主窃取程序。

此外 Panda Stealer 还有另一种感染途径,通过在 .XLS 格式的附件中插入一个隐藏了 PowerShell 命令 Excel 公式,恶意软件会在触发后尝试访问 paste.ee 这个网址,以将 PowerShell 脚本引入受害者的系统。
026edbd8f8bb552.png
恶意网址与文件(来自:Trend Micro)

Trend Micro 表示,Visual Basic 中的 CallByName 导出功能,被攻击者用于从 paste.ee 网址调用内存中的 .NET 程序集。

通过 Agile.NET 混淆器加载的程序集,将把合法的 MSBuild.exe 进程掏空,然后用攻击者的有效负载替换(来自另一个 paste.ee 网址的十六进制编码的 Panda Stealer 二进制文件)。

66a93c2cdd611a1.png
Panda Stealer 的屏幕截图

下载完成后,Panda Stealer 将检测与以太坊(ETH)、莱特币(LTC)、字节币(BCN)、达世币(DASH)等加密货币有关的钱包密钥和地址。

此外该恶意软件能够屏幕截图、泄露系统数据、以及窃取信息,包括浏览器 Cookie、Nord[过滤]、Telegram、Discord、以及 Steam 账户的凭据。
9e1f3b25148454e.png
叫卖收集来的数据的 Telegram 频道

通过对攻击链条和恶意软件分发方式的分析,Trend Micro 认为 Panda Stealer 与 Phobos 勒索软件(以及 4 月份报告中提到的 LockBit)存在许多相似之处。

尽管未将该活动归因于特定的网络攻击者,但 Trend Micro 还是顺着命令与控制服务器,反向找到了幕后黑手的 IP 地址、以及从 Shock Hosting 租用的 VPS 服务器(后者已处于被挂起的状态)。
cnseatech
发表于 2021-5-7 21:01:59 | 显示全部楼层
不打开陌生的邮件
汪晓炮
发表于 2021-5-13 03:10:37 | 显示全部楼层
Panda Stealer恶意软件 哪里产的呢?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-29 13:33 , Processed in 0.130523 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表