Neuer Krypto-Stealer ‘Panda’ verbreitet sich über Discord

Cyber Security News

PandaStealer wird in manipulierten Excel-Dateien ausgeliefert, die sich als Geschäftsangebote ausgeben, um die Kryptowährung und andere Daten der Opfer zu stehlen.

Ein weiterer neuer Informationsdieb – PandaStealer – wird über eine weltweite Spam-Kampagne verbreitet.

Am Dienstag erklärten die Forscher von Trend Micro, dass sie den neuen Stealer erstmals im April entdeckt haben. Die jüngste Welle der Spam-Kampagne hatte die größten Auswirkungen in Australien, Deutschland, Japan und den USA.

Die Spam-E-Mails geben sich als geschäftliche Anfragen aus, um die Opfer dazu zu verleiten, auf mit Sprengfallen versehene Excel-Dateien zu klicken. Die Forscher fanden 264 Dateien, die Panda Stealer ähneln, auf VirusTotal, wobei einige von ihnen von Bedrohungsakteuren auf Discord geteilt wurden.

Nehmen Sie an Threatposts LIVE-Roundtable-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” am Mittwoch, den 12. Mai um 14:00 Uhr EDT teil. Dieses KOSTENLOSE Webinar wird von Zoho ManageEngine gesponsert.

Das ist nicht überraschend, wenn man die jüngsten Trends betrachtet: Das Talos-Cybersecurity-Team von Cisco hat kürzlich herausgefunden, dass Bedrohungsakteure Workflow- und Collaboration-Tools wie Slack und Discord infiltriert haben, um an den Sicherheitssystemen vorbeizukommen und Infodiebe, Remote-Access-Trojaner (RATs) und andere Malware zu verbreiten.

… Oder vielleicht die Zusammenarbeit an mehr vom Gleichen

Andererseits könnten Bedrohungsakteure auch Discord verwenden, um den Panda Stealer-Build mit anderen zu teilen, so Trend Micro.

Sobald Panda es sich gemütlich macht, versucht er, Details wie private Schlüssel und vergangene Transaktionen von Kryptowährungs-Wallets abzusaugen, einschließlich Bytecoin (BCN), Dash (DASH), Ethereum (ETH) und Litecoin (LTC). Neben dem Diebstahl von Wallets kann er auch Anmeldeinformationen von Anwendungen wie NordVPN, Telegram, Discord und Steam stehlen. Panda kann auch Screenshots des infizierten Computers machen und Daten aus Browsern stehlen, darunter Cookies und Passwörter.

Die Forscher entdeckten zwei Wege, wie der Spam seine Opfer infiziert: In einer Infektionskette enthält ein .XLSM-Anhang Makros, die einen Loader herunterladen, der den Haupt-Stealer ausführt. In einer anderen Infektionskette löst ein .XLS-Attachment mit einer Excel-Formel einen PowerShell-Befehl aus, der auf paste.ee zugreift, eine Pastebin-Alternative, die wiederum auf einen zweiten verschlüsselten PowerShell-Befehl zugreift. Das Bild unten zeigt eine Excel-Formel, die per PowerShell-Befehl auf eine paste.ee-URL zugreift:

[Blocked Image: https://alltechnews.de/daten/2021/05/Neuer-Krypto-Stealer-Panda-verbreitet-sich-ueber-Discord.png]

Alle in der Stealer-Familie

Panda Stealer ist ein Tweak der Malware Collector Stealer, auch bekannt als DC Stealer, der in einem Untergrundforum und über Telegram für nur $12 verkauft wurde. Er wird als “Top-End Information Stealer” beworben und hat eine russische Oberfläche.

Ein Bedrohungsakteur namens NCP, auch bekannt als su1c1de, hat Collector Stealer tatsächlich geknackt. Der geknackte Stealer und Panda Stealer verhalten sich ähnlich, haben aber nicht die gleichen Command-and-Control-URLs (C2), Build-Tags oder Ausführungsordner. Aber beide exfiltrieren Informationen wie Cookies, Anmeldedaten und Webdaten von einem kompromittierten Computer und speichern sie in einer SQLite3-Datenbank.

Der geknackte Collector Stealer ist online frei verfügbar, was bedeutet, dass es einfach ist, ihn zu bekommen, zu optimieren und loszulegen.

“Cyberkriminelle Gruppen und Skript-Kiddies können damit ihre eigene angepasste Version des Stealers und des C2-Panels erstellen”, so die Trend Micro Forscher. “Bedrohungsakteure können ihre Malware-Kampagnen auch mit spezifischen Funktionen des Collector Stealers erweitern.

Dateilose Verteilung verdeckt den Geruch

Panda Stealer hat nicht nur von Collector Stealer abgekupfert, sondern auch von einem anderen Malware-Typ: Er verwendet nämlich dieselbe dateilose Verteilungsmethode wie die “Fair”-Variante der Phobos-Ransomware, um der Entdeckung zu entgehen. Mit anderen Worten: Er wird nach der Erstinfektion im Speicher ausgeführt, anstatt Dateien auf der Festplatte zu speichern.

Dimiter Andonov, Senior Principal Reverse Engineer bei Mandiant, erklärte am Dienstag in einer E-Mail an Threatpost, dass die Verwendung der dateilosen Technik ein Markenzeichen fortschrittlicher Malware-Techniken ist.

Panda legt Dateien in den Temp-Ordnern der Zielsysteme ab und speichert gestohlene Informationen unter zufällig gewählten Dateinamen. Anschließend exfiltriert er die gestohlenen Daten und sendet sie an einen C2-Server. Bei der Analyse dieses C2-Servers stießen die Forscher auf eine Anmeldeseite für “熊猫Stealer”, was übersetzt “Panda Stealer” heißt, obwohl sie noch weitere Domänen fanden, die dieselbe Anmeldeseite verwenden. Das Bild unten zeigt andere Anmeldeseiten mit dem Namen “熊猫Stealer”:”

[Blocked Image: https://alltechnews.de/daten/2021/05/1620248996_563_Neuer-Krypto-Stealer-Panda-verbreitet-sich-ueber-Discord.png]

Die Forscher fanden 14 Opfer, die in den Protokollen für einen dieser Server aufgeführt waren. Sie fanden auch eine IP-Adresse, von der sie glauben, dass der Bedrohungsakteur sie verwendet hat: Sie wurde auf einem von Shock Hosting gemieteten Virtual Private Server (VPS) gehostet, der zu Testzwecken kompromittiert worden war. Nachdem die Forscher ihren Fund an Shock Hosting gemeldet hatten, wurde der Server gesperrt.

Nehmen Sie an der Threatpost-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” teil – ein LIVE-Roundtable-Event am Mi, 12. Mai um 14:00 Uhr EDT. Gesponsert von Zoho ManageEngine, moderiert Threatpost-Moderatorin Becky Bracken eine Expertenrunde, die die besten Abwehrstrategien für diese Bedrohungen des Jahres 2021 diskutiert. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der lebhaften Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com