Il existe un nouveau logiciel malveillant qui cible les portefeuilles de devises numériques et se propage via les courriers indésirables et les canaux Discord. Le logiciel malveillant, surnommé Panda Stealer, a principalement ciblé des victimes aux États-Unis, en Allemagne, au Japon et en Australie.
La société de sécurité Trend Micro a été la première à détecter le malware. Dans un récent article de blog, la société basée à Tokyo a révélé que Panda Stealer est livré par le biais d’e-mails de spam se présentant comme des citations commerciales pour inciter des victimes sans méfiance à ouvrir des fichiers Excel malveillants.
Le malware a deux chaînes d’infection, a révélé la société de sécurité. Dans le premier, les criminels joignent un document.XLSM contenant des macros malveillantes. Une fois que la victime active les macros, le malware télécharge et exécute le voleur principal.
Dans la deuxième chaîne d’infection, les e-mails de spam sont accompagnés d’une pièce jointe.XLS contenant une formule Excel qui masque une commande PowerShell. Cette commande tente d’accéder à paste.ee, une alternative à Pastebin, qui à son tour accède à une deuxième commande PowerShell chiffrée. Selon Trend Micro, cette commande est utilisée pour accéder aux URL à partir de paste.ee pour une implémentation facile de charges utiles sans fichier.
«Une fois installé, Panda Stealer peut collecter des détails tels que des clés privées et des enregistrements de transactions passées à partir des différents portefeuilles de devises numériques de sa victime, notamment Dash, Bytecoin, Litecoin et Ethereum», a noté la société.
Le logiciel malveillant ne se limite cependant pas aux portefeuilles de devises numériques. Il vole les informations d’identification d’autres applications telles que Telegram, NordVPN, Discord et Steam. Il est également capable de prendre des captures d’écran de l’ordinateur infecté et de capturer et de transmettre des données à partir de navigateurs comme les cookies et les mots de passe.
Trend Micro a trouvé 264 autres fichiers similaires à Panda Stealer sur VirusTotal. Plus de 140 serveurs de commande et de contrôle (C&C) et plus de 10 sites téléchargés ont été utilisés par ces échantillons.
Il a conclu : «Certains des sites de téléchargement provenaient de Discord, contenant des fichiers portant des noms tels que« build.exe », ce qui indique que les auteurs de menaces peuvent utiliser Discord pour partager la version de Panda Stealer.»
Les chercheurs en sécurité ont lié la campagne de malware Panda Stealer à une adresse IP attribuée à des serveurs privés virtuels loués auprès de Shock Hosting. Cependant, la société d’hébergement a affirmé que le serveur qu’elle avait attribué à cette adresse particulière avait depuis été suspendu.
Panda Stealer est une modification de Collector Stealer, une souche de malware connue pour être vendue aussi peu que 12 $ sur les forums clandestins. Aussi connu sous le nom de DC Stealer, le malware est annoncé comme un voleur d’informations haut de gamme.
Trend Micro pense que Panda Stealer est lié à Collector Stealer. Les chercheurs ont déclaré : «Les groupes cybercriminels et les script kiddies peuvent l’utiliser pour créer leur propre version personnalisée du voleur et du panneau C2. Les acteurs de la menace peuvent également augmenter leurs campagnes de logiciels malveillants avec des fonctionnalités spécifiques de Collector Stealer. »
Nouveau sur Bitcoin? Découvrez CoinGeek Bitcoin pour les débutants section, le guide de ressources ultime pour en savoir plus sur Bitcoin – comme initialement envisagé par Satoshi Nakamoto – et la blockchain.