Có một phần mềm độc hại mới nhắm mục tiêu vào các ví tiền kỹ thuật số, lây lan qua các email spam và các kênh Discord. Phần mềm độc hại có tên Panda Stealer, chủ yếu nhắm vào các nạn nhân ở Mỹ, Đức, Nhật Bản và Úc.
Công ty bảo mật Trend Micro là công ty đầu tiên phát hiện ra phần mềm độc hại này. Trong một gần đây bài viết trên blog của trendmicro.com, công ty có trụ sở tại Tokyo tiết lộ rằng Panda Stealer được gửi qua các email spam giả dạng báo giá kinh doanh để dụ những nạn nhân không nghi ngờ mở các tệp Excel độc hại.
Các phần mềm độc hại có hai chuỗi lây nhiễm, công ty bảo mật tiết lộ. Đầu tiên, bọn tội phạm đính kèm một tài liệu .XLSM có chứa các macro độc hại. Khi nạn nhân bật macro, phần mềm độc hại sẽ tải xuống và thực thi kẻ ăn cắp chính.
Trong chuỗi lây nhiễm thứ hai, các email spam đi kèm với tệp đính kèm .XLS chứa công thức Excel ẩn lệnh PowerShell. Lệnh này cố gắng truy cập paste.ee, một giải pháp thay thế Pastebin, lần lượt truy cập vào lệnh PowerShell được mã hóa thứ hai. Theo Trend Micro, lệnh này được sử dụng để truy cập URL từ paste.ee để dễ dàng triển khai các tải trọng không có bộ lọc.
Công ty lưu ý: “Sau khi được cài đặt, Panda Stealer có thể thu thập các thông tin chi tiết như khóa cá nhân và hồ sơ của các giao dịch trước đây từ các ví tiền kỹ thuật số khác nhau của nạn nhân, bao gồm Dash, Bytecoin, Litecoin và Ethereum”.
Tuy nhiên, phần mềm độc hại không tự giới hạn trong ví tiền kỹ thuật số. Nó đánh cắp thông tin đăng nhập vào các ứng dụng khác như Telegram, NordVPN, Discord và Steam. Nó cũng có khả năng chụp ảnh màn hình của máy tính bị nhiễm và chụp và truyền dữ liệu từ các trình duyệt như cookie và mật khẩu.
Trend Micro đã tìm thấy 264 tệp khác tương tự như Panda Stealer trên VirusTotal. Hơn 140 máy chủ lệnh và điều khiển (C&C) và hơn 10 trang web đã tải xuống đã được sử dụng bởi các mẫu này.
Nó kết luận, “Một số trang web tải xuống là từ Discord, chứa các tệp có tên như” build.exe “, điều này cho thấy rằng các tác nhân đe dọa có thể đang sử dụng Discord để chia sẻ bản dựng Panda Stealer.”
Các nhà nghiên cứu bảo mật đã liên kết chiến dịch phần mềm độc hại Panda Stealer với một địa chỉ IP được chỉ định cho các máy chủ riêng ảo thuê từ Shock Hosting. Tuy nhiên, công ty lưu trữ tuyên bố rằng máy chủ mà họ đã gán cho địa chỉ cụ thể này đã bị tạm ngừng.
Panda Stealer là một bản chỉnh sửa của Collector Stealer, một loại phần mềm độc hại được biết đến với giá chỉ 12 đô la trên các diễn đàn ngầm. Còn được gọi là DC Stealer, phần mềm độc hại này được quảng cáo là kẻ đánh cắp thông tin cấp cao nhất.
Trend Micro tin rằng Panda Stealer có liên quan đến Collector Stealer. Các nhà nghiên cứu tuyên bố, “Các nhóm tội phạm mạng và những đứa trẻ tập lệnh đều có thể sử dụng nó để tạo ra phiên bản tùy chỉnh của riêng họ của trình đánh cắp và bảng điều khiển C2. Các tác nhân đe dọa cũng có thể tăng cường các chiến dịch phần mềm độc hại của họ bằng các tính năng cụ thể từ Collector Stealer. ”
Nội dung bài viết có tham khảo từ nguồn uy tín.
Ghi nguồn trade.edu.vn khi đăng tải lại bài viết này.
