پاندا استیلر از طریق پیوست مخرب XLS ، اوراق بهادار ارز رمزنگاری شده و اعتبارات VPN را هدف قرار می دهد


طبق تجزیه و تحلیل Trend Micro ، این حمله اخیر همچنین مدارک معتبر تلگرام ، Discord و Steam را می دزد.

تصویر: iStockPhoto / danijelala

بر اساس تجزیه و تحلیل Trend Micro ، بازیگران بد در حال مخرب کردن بدافزار موجود برای سرقت کلیدهای خصوصی حساب های رمزنگاری شده و اعتبار دیگر حساب ها هستند. نقطه ورود ایمیل هرزنامه است که حاوی درخواست پیشنهادی برای خدمات تجاری و فایلهای مخرب اکسل است.

به گفته Trend Micro ، پاندا استیلر از رویکرد بدون پرونده استفاده می کند و به دنبال کلیدهای خصوصی و سوابق معاملات قبلی از اوراق بهادار ارز رمزپایه از جمله Dash ، Bytecoin ، Litecoin و Ethereum است. این بدافزار همچنین اعتبار برنامه های دیگر مانند NordVPN ، Telegram ، Discord و Steam را می رباید.

نگاه کنید: مهندسی اجتماعی: کلاهبرداری برای حرفه ای های تجاری (PDF رایگان) (TechRepublic)

تحلیلگران Trend Micro Monte de Jesus فیودور یاروچکین و پاول پاجارس آخرین نسخه CollectorStealer را در یک پست وبلاگ توضیح دادند. تحلیلگران دو زنجیره عفونت را شناسایی کرده اند:

  • یک پلاگین XLSM که حاوی ماکروهایی است که یک لودر را که سارق را اجرا می کند ، می کشد
  • یک فایل XLS شامل فرمول اکسل است که از دستور PowerShell برای دسترسی به paste.ee استفاده می کند که به دستور PowerShell رمزگذاری شده دوم دسترسی دارد

تحلیلگران حمله را به شرح زیر توصیف می کنند:

“رمزگشایی این اسکریپتهای PowerShell نشان داد که از آنها برای دسترسی به URL های paste.ee استفاده می شود تا بارهای بدون پرونده را به راحتی مستقر کند. از ویژگی صادرات CallByName در ویژوال بیسیک برای فراخوانی بار مونتاژ .NET از حافظه استفاده می شود. URL paste.ee. URL مجموعه بارگذاری شده ، پنهان شده با Obususator Agile.NET ، یک فرایند قانونی MSBuild.exe را اجرا می کند و بار آن را جایگزین می کند: باینری هگزادسیمال Panda Stealer از یک URL دیگر paste.ee. ”

علاوه بر سرقت داده ها ، بدافزار می تواند عکس های صفحه را بگیرد تا داده های مرورگرها مانند کوکی ها ، رمزهای عبور و کارتها را بگیرد. تحلیلگران Trend Micro گزارش می دهند که ایالات متحده ، استرالیا ، ژاپن و آلمان بزرگترین اهداف در این حمله اسپم اخیر هستند.

تجزیه و تحلیل Trend Micro همچنین نشان داد که پاندا استیلر دارای یک زنجیره عفونی است که از همان روش توزیع بدون فایل همان نوع “Fair” باج افزار Phobos برای انجام حملات مبتنی بر حافظه استفاده می کند. این شگرد باعث می شود که ابزارهای امنیتی نتوانند عفونت را دشوار کنند.

Trend Micro گزارش می دهد که پاندا استیلر یکی از انواع Collector Stealer است. این دو بدافزار به روشی مشابه کار می کنند اما دارای URL های مختلف برای پوشه های فرمان و کنترل ، برچسب گذاری و اجرا هستند. به گفته Trend Micro ، Collector Stealer “با حذف پرونده های به سرقت رفته و گزارش فعالیت ها ، مسیرهای خود را پوشش می دهد.”

CollectorStealer با توجه به PCRisk ، رمزهای عبور ، کوکی ها ، اطلاعات کارت اعتباری ، پرونده های .dat و .wallet را از اوراق بهادار ارز رمزنگاری شده ، جلسات Discord و Telegram ، پرونده های جلسه ، جلسات احراز هویت دو عاملی و اطلاعات از فرم های تکمیل خودکار و رمزهای عبور جمع می کند. افرادی که رایانه آنها به این بدافزار آلوده است ممکن است دسترسی به حساب های بانکی ، شبکه های اجتماعی و حساب های ایمیل را از دست بدهند. بازیگران بد همچنین از این دسترسی برای توزیع بدافزار در رایانه های دیگر استفاده می کنند.

همچنین ببینید

Author: morteza

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *