Panda Stealer apunta a carteras de criptomonedas y credenciales de VPN a través de un adjunto XLS malicioso


Este último ataque también roba credenciales de Telegram, Discord y Steam, según un análisis de Pattern Micro.

concepto-de-notificación-de-malware-o-error-alerta-roja-alerta-de-spam-vector-id1142226935.jpg

Imagen: iStockPhoto / danijelala

Los malos actores le dieron un nuevo giro a una pieza de malware existente para robar claves privadas para cuentas de criptomonedas y otras credenciales de cuentas, según un análisis de Pattern Micro. El punto de entrada es un correo electrónico no deseado que contiene una solicitud de cotización para servicios comerciales y archivos de Excel maliciosos.

Panda Stealer utiliza un enfoque sin archivos y busca claves privadas y registros de transacciones anteriores de carteras de criptomonedas, incluidas Dash, Bytecoin, Litecoin y Ethereum, según Trend Micro. El malware también roba credenciales de otras aplicaciones como NordVPN, Telegram, Discord y Steam.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Los analistas de Development Micro Monte de Jesus, Fyodor Yarochkin y Paul Pajares explicaron la última variante de CollectorStealer en una publicación de web site. Los analistas identificaron dos cadenas de infección:

  • Un archivo adjunto XLSM que contiene macros que descargan un cargador, que ejecuta el ladrón
  • Un archivo XLS que contiene una fórmula de Excel que usa un comando de PowerShell para acceder a paste.ee, que accede a un segundo comando de PowerShell encriptado

Los analistas describen el ataque de esta manera:

«La decodificación de estos scripts de PowerShell reveló que se utilizan para acceder a las URL de paste.ee para una fácil implementación de cargas útiles sin archivos. La función de exportación CallByName en Visual Simple se utiliza para llamar a la carga de un ensamblado .Internet dentro de la memoria desde una URL de paste.ee. El ensamblado cargado, ofuscado con un ofuscador Agile.Net, ahueca un proceso legítimo de MSBuild.exe y lo reemplaza con su carga útil: el binario Panda Stealer codificado en hexadecimal de otra URL paste.ee «.

Además de robar datos, el malware puede tomar capturas de pantalla para capturar datos de navegadores como cookies, contraseñas y tarjetas. Los analistas de Trend Micro informan que Estados Unidos, Australia, Japón y Alemania fueron los principales objetivos de este reciente ataque de spam.

El análisis de Trend Micro también descubrió que Panda Stealer tiene una cadena de infección que utiliza el mismo método de distribución sin archivos que la variante «justa» del ransomware Phobos para llevar a cabo ataques basados ​​en la memoria. Esta táctica dificulta que las herramientas de seguridad detecten la infección.

Craze Micro informa que Panda Stealer es una variante de Collector Stealer. Las dos piezas de malware operan de manera related pero tienen diferentes URL de comando y manage, etiquetas de compilación y carpetas de ejecución. Collector Stealer «cubre sus pistas eliminando archivos robados y registros de actividad», según Development Micro.

CollectorStealer recolecta contraseñas, cookies, detalles de tarjetas de crédito, .dat y .wallet de carteras de criptomonedas, sesiones de Discord y Telegram, archivos de Steam, sesiones de autenticación de dos factores e información de formularios de autocompletar y contraseñas de ciertos navegadores, según PCRisk. Las personas cuyas computadoras están infectadas con este malware pueden perder el acceso a cuentas bancarias, redes sociales y cuentas de correo electrónico. Los malos actores también utilizan este acceso para propagar el malware a otras computadoras.

Ver también



Enlace a la noticia unique