Panda Stealer zielt auf Krypto-Wallets

Cyber Security News

Ein neuer Informationsdieb hat es auf Kryptowährungs-Wallets und Anmeldeinformationen für Anwendungen wie NordVPN, Telegram, Discord und Steam abgesehen.

Panda Stealer verwendet Spam-E-Mails und die gleiche schwer zu entdeckende dateilose Verteilungsmethode, die von einer kürzlich von Morphisec entdeckten Phobos-Ransomware-Kampagne eingesetzt wurde.

Die Angriffskampagne scheint es vor allem auf Benutzer in Australien, Deutschland, Japan und den USA abgesehen zu haben.

Panda Stealer wurde von Trend Micro Anfang April entdeckt. Die Bedrohungsforscher haben zwei Infektionsketten identifiziert, die von der Kampagne verwendet werden.

Sie sagten: “In der einen enthält ein .XLSM-Anhang Makros, die einen Loader herunterladen. Dann lädt der Loader den Haupt-Stealer herunter und führt ihn aus.

“Die andere Infektionskette umfasst eine angehängte .XLS-Datei, die eine Excel-Formel enthält, die einen PowerShell-Befehl verwendet, um auf paste.ee zuzugreifen, eine Pastebin-Alternative, die auf einen zweiten verschlüsselten PowerShell-Befehl zugreift.”

Einmal installiert, kann Panda Stealer Details wie private Schlüssel und Aufzeichnungen vergangener Transaktionen aus den verschiedenen digitalen Währungs-Wallets seiner Opfer sammeln, einschließlich Dash, Bytecoin, Litecoin und Ethereum.

Andere Karten im Ärmel von Panda sind die Fähigkeit, Screenshots des infizierten Computers zu machen und die Macht, Daten aus Browsern zu exfiltrieren, wie Cookies, Passwörter und Karten.

Die Forscher brachten die Kampagne mit einer IP-Adresse in Verbindung, die einem virtuellen privaten Server zugewiesen war, der von Shock Hosting gemietet wurde. Shock Hosting sagte, dass der dieser Adresse zugewiesene Server gesperrt wurde.

Es wurde festgestellt, dass es sich bei Panda Stealer um eine Variante von Collector Stealer handelt, die vom russischen Bedrohungsakteur NCP, auch bekannt als su1c1de, geknackt wurde.

“Da der geknackte Collector Stealer-Builder online offen zugänglich ist, können cyberkriminelle Gruppen und Skript-Kiddies ihn nutzen, um ihre eigene angepasste Version des Stealers und des C&C-Panels zu erstellen”, so die Forscher.

Obwohl sich die beiden Stealer ähnlich verhalten, haben sie unterschiedliche Command-and-Control-Server-URLs, Build-Tags und Ausführungsordner.

CTO Michael Gorelik, der das Threat Intelligence-Team von Morphisec leitet, hat beobachtet, dass die Zahl der Infostealer seit der Unterbrechung des Emotet-Netzwerks in die Höhe geschossen ist.

Bei der Analyse der verschiedenen Angriffsarten, die Morphisec in den letzten 12 Monaten auf sieben Millionen Unternehmensendpunkten entdeckt hat, stellte Gorelik fest, dass Infostealer den höchsten Prozentsatz der versuchten Endpunktangriffe ausmachen (31 %).

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com