Panda Stealer è il malware che ruba criptovalute! Attenzione ai link nelle chat di Discord

Una nuova variante di un malware destinato al furto di criptovalute viene diffusa tramite una campagna di spam ad ampio raggio che sfrutta i canali del programma di comunicazione vocale Discord. Il malware, denominato Panda Stealer, ha già preso di mira utenti negli Stati Uniti, in Australia, in Giappone e in Germania.

Il primo passo della catena di compromissione, come spesso accade, è un'email di phishing ma i ricercaotri di Trend Micro osservato che vi sono elementi che dimostrano che alcune vittime hanno scaricato eseguibili compromessi da siti Web tramite link in circolazione su Discord. Le email con cui si diffonde Panda Stealer sono finte richieste di preventivi aziendali.

Attualmente sono stati individuati due meccanismi distinti che conducono all'esecuzione del malware. Uno prevede l'uso di documenti .XLSM in allegato alle mail che chiedono alla vittima di abilitare macro e, nel caso in cui ciò avvenga, si innesca il download del pacchetto dannoso e successiva esecuzione. Il secondo metodo prevede invece l'uso di un file .XLS che contiene una formula di Excel usata per nascondere un comando PowerShell il quale a sua volta tenta di accedere ad un URL per eseguire uno script che scarica il payload.

A prescindere da quale metodo causa la compromissione Panda Stealer cercherà, una volta in funzione di individuare chiavi ed indirizzi di eventuali portafogli di criptovalute dell'utente con particolare attenzione ad Ethereum, Litecoin, Bytecoin e Dash. (ETH, LTC, BCN e DASH). Il malware mostra anche funzione di logger, con la possibilità di registrare schermate, rubare file e informazioni, e credenziali di account di vario genere.

Panda Stealer risulta essere una variante di Collector Stealer, un malware venduto in passato su forum del dark web e tramite i canali di Telegram. Trend Micro sottolinea inoltre che ci sono somiglianze nella catena di attacco e nella distribuzione con il ransomware Phobos.

La campagna non è stata attribuita ad una mano specifica, ma Trend Micro afferma che un esame dei server command&control a cui il malware si connette ha portato ad individuare alcuni indirizzi IP su un server privato virtuale noleggiato da Shock Hosting. Il server è stato sospeso dopo la notifica.