Panda Stealer è il malware che ruba criptovalute! Attenzione ai link nelle chat di Discord

Panda Stealer è il malware che ruba criptovalute! Attenzione ai link nelle chat di Discord

Trovata una variante di un malware adibito al furto delle criptovalute che si diffonde tramite mail di phishing ma anche tramite link a siti compromessi in circolazione su Discord

di pubblicata il , alle 15:12 nel canale Sicurezza
 

Una nuova variante di un malware destinato al furto di criptovalute viene diffusa tramite una campagna di spam ad ampio raggio che sfrutta i canali del programma di comunicazione vocale Discord. Il malware, denominato Panda Stealer, ha già preso di mira utenti negli Stati Uniti, in Australia, in Giappone e in Germania.

Il primo passo della catena di compromissione, come spesso accade, è un'email di phishing ma i ricercaotri di Trend Micro osservato che vi sono elementi che dimostrano che alcune vittime hanno scaricato eseguibili compromessi da siti Web tramite link in circolazione su Discord. Le email con cui si diffonde Panda Stealer sono finte richieste di preventivi aziendali.

Attualmente sono stati individuati due meccanismi distinti che conducono all'esecuzione del malware. Uno prevede l'uso di documenti .XLSM in allegato alle mail che chiedono alla vittima di abilitare macro e, nel caso in cui ciò avvenga, si innesca il download del pacchetto dannoso e successiva esecuzione. Il secondo metodo prevede invece l'uso di un file .XLS che contiene una formula di Excel usata per nascondere un comando PowerShell il quale a sua volta tenta di accedere ad un URL per eseguire uno script che scarica il payload.

A prescindere da quale metodo causa la compromissione Panda Stealer cercherà, una volta in funzione di individuare chiavi ed indirizzi di eventuali portafogli di criptovalute dell'utente con particolare attenzione ad Ethereum, Litecoin, Bytecoin e Dash. (ETH, LTC, BCN e DASH). Il malware mostra anche funzione di logger, con la possibilità di registrare schermate, rubare file e informazioni, e credenziali di account di vario genere.

Panda Stealer risulta essere una variante di Collector Stealer, un malware venduto in passato su forum del dark web e tramite i canali di Telegram. Trend Micro sottolinea inoltre che ci sono somiglianze nella catena di attacco e nella distribuzione con il ransomware Phobos.

La campagna non è stata attribuita ad una mano specifica, ma Trend Micro afferma che un esame dei server command&control a cui il malware si connette ha portato ad individuare alcuni indirizzi IP su un server privato virtuale noleggiato da Shock Hosting. Il server è stato sospeso dopo la notifica.

30 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TorettoMilano06 Maggio 2021, 15:18 #1
non capisco a cosa serva questo malware, le crypto fanno della sicurezza il loro punto forte
Gringo [ITF]06 Maggio 2021, 15:36 #2
Non serve a nulla, semplicemente gli ridona il loro reale valore.
agonauta7806 Maggio 2021, 16:39 #3
Sai che colpo a chi ha minato per anni e poi si ritrova con niente.
Io incentiverei questi malware, così almeno finisce questa moda ridicola di minare
Sam6406 Maggio 2021, 16:58 #4

e vaiiiiiiiiiiiii

Finalmente un malware serio........
Opteranium06 Maggio 2021, 17:17 #5
all'inizio ho pensato a un ladro seriale di Fiat
zappy06 Maggio 2021, 19:04 #6
Originariamente inviato da: Opteranium
all'inizio ho pensato a un ladro seriale di Fiat

lo è... tutti i minatori di cripto alla fine della fiera puntano alla fiat...
!fazz07 Maggio 2021, 00:15 #7
corre voce che il malware si diffonda solamente nei pc delle concessionarie hyundai
sminatore07 Maggio 2021, 08:40 #8
Ma quanti vecchi ci stanno che hanno imparato a commentare? Ma poi si concentrano tutti su questo sito? Speriamo vi rubino qualcosa dal conto così capite che vuol dire augurare il male agli altri.
Zappz07 Maggio 2021, 08:54 #9
Originariamente inviato da: sminatore
Ma quanti vecchi ci stanno che hanno imparato a commentare? Ma poi si concentrano tutti su questo sito? Speriamo vi rubino qualcosa dal conto così capite che vuol dire augurare il male agli altri.


Rosikare non ha età...
sminatore07 Maggio 2021, 09:42 #10
Che poi non ci pensavo, ma già gli rubano i soldi dal conto, ma lo fanno in modo intelligente e lasciando intoccato il numeretto, quindi non se ne accorgono

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^