趨勢科技近日表示在4月發(fā)現(xiàn)了名為Panda Stealer的信息竊取惡意軟件，該惡意軟件正在通過垃圾郵件進(jìn)行傳播，在澳大利亞、德國、日本和美國已經(jīng)存在很多受害者。

郵件偽造的企業(yè)報價請求單，引誘受害者執(zhí)行惡意Excel文件。研究人員在VirusTotal上發(fā)現(xiàn)了264個疑似是Panda Stealer的文件，其中有一些托管在Discord上。

思科最近也發(fā)現(xiàn)攻擊者已經(jīng)滲透到協(xié)作工具(例如Slack和Discord)當(dāng)中，以逃避檢測部署RAT與其他惡意軟件。趨勢科技認(rèn)為，攻擊者可能重用Discord來構(gòu)建Panda Stealer的分發(fā)渠道。

[[400500]]

感染分發(fā)

一旦攻擊成功，Panda Stealer會從Bytecoin(BCN)、Dash(DASH)、以太坊(ETH)和Litecoin(LTC)等加密貨幣錢包中獲取諸如私鑰和歷史交易記錄等詳細(xì)信息。除竊取加密貨幣外，還會從特定應(yīng)用程序(如NordVPN、Telegram、Discord和Steam)中竊取憑據(jù)。Panda Stealer也能夠竊取失陷主機(jī)的屏幕快照，并從瀏覽器中竊取Cookie和密碼等私密信息。

Panda Stealer有兩種方式進(jìn)行感染。

包含宏代碼的XLSM文件執(zhí)行，宏代碼下載一個Downloader，由它執(zhí)行信息竊取程序：

包含公式的XLS文件執(zhí)行，觸發(fā)PowerShell請求paste.ee(pastebin的替代品)

竊密家族

Panda Stealer是惡意軟件Collector Stealer(也叫DC Stealer)的變種，Collector Stealer在地下市場和Telegram上的售價僅為12美元。運(yùn)營方宣傳這是高端信息竊密工具，還附帶俄語界面。

盡管行為類似，但是Collector Stealer和Panda Stealer并沒有共享相同的命令和控制(C2)URL結(jié)構(gòu)或執(zhí)行文件夾。但二者都竊取Cookie等隱私數(shù)據(jù)并存儲在SQLite3數(shù)據(jù)庫中。

Collector Stealer已經(jīng)被破解了，在互聯(lián)網(wǎng)上可以免費獲得，任何人都可以使用其來定制惡意軟件和C&C面板。

無文件攻擊

Panda Stealer不僅師承Collector Stealer，還從Phobos勒索軟件處借鑒了相同的無文件感染方式。Mandiant的首席逆向工程師Dimiter Andonov表示，使用無文件技術(shù)是高級惡意軟件的標(biāo)志。

Panda Stealer將文件移動到Temp文件夾中，以隨機(jī)文件名存儲被竊信息并將其發(fā)送到C&C服務(wù)器。其C&C服務(wù)器都帶有名為“熊貓Stealer”的登錄頁面，故而命名為Panda Stealer。

研究人員還在其中一臺服務(wù)器的日志中發(fā)現(xiàn)了14位受害者與疑似攻擊者使用的IP地址。攻擊者使用的IP地址托管在從Shock Hosting租用的主機(jī)上，趨勢科技將這一發(fā)現(xiàn)報告給了Shock Hosting后被官方關(guān)停。

參考來源：

• TrendMicro
• ThreatPOST