本周，趨勢(shì)科技（Trend Micro）安全研究人員分享了有關(guān)“Panda Stealer”惡意軟件的詳情。可知除了垃圾郵件、攻擊者還選擇了將它放入 Excel 文檔并通過(guò) Discord 渠道進(jìn)行傳播，以竊取用戶的加密貨幣。由目前上傳至 VirusTotal 的樣本和調(diào)查分析可知，該惡意軟件以波及美國(guó)、澳大利亞、日本和德國(guó)等地，且感染鏈條通?？勺匪莸揭环饩W(wǎng)絡(luò)釣魚(yú)郵件。

已有受害者通過(guò) Discord 鏈接，從惡意網(wǎng)站下載了可執(zhí)行文件。

安全研究人員指出，Panda Stealer 會(huì)在釣魚(yú)郵件中將自身偽裝成企業(yè)詢價(jià)。在欺騙受害者打開(kāi)了 .XLSM 后綴的文件并啟用宏操作后，惡意軟件就會(huì)嘗試下載并執(zhí)行主竊取程序。

此外 Panda Stealer 還有另一種感染途徑，通過(guò)在 .XLS 格式的附件中插入一個(gè)隱藏了 PowerShell 命令 Excel 公式，惡意軟件會(huì)在觸發(fā)后嘗試訪問(wèn) paste.ee 這個(gè)網(wǎng)址，以將 PowerShell 腳本引入受害者的系統(tǒng)。

惡意網(wǎng)址與文件（來(lái)自：Trend Micro）

Trend Micro 表示，Visual Basic 中的 CallByName 導(dǎo)出功能，被攻擊者用于從 paste.ee 網(wǎng)址調(diào)用內(nèi)存中的 .NET 程序集。

通過(guò) Agile.NET 混淆器加載的程序集，將把合法的 MSBuild.exe 進(jìn)程掏空，然后用攻擊者的有效負(fù)載替換（來(lái)自另一個(gè) paste.ee 網(wǎng)址的十六進(jìn)制編碼的 Panda Stealer 二進(jìn)制文件）。

Panda Stealer 的屏幕截圖

下載完成后，Panda Stealer 將檢測(cè)與以太坊（ETH）、萊特幣（LTC）、字節(jié)幣（BCN）、達(dá)世幣（DASH）等加密貨幣有關(guān)的錢(qián)包密鑰和地址。

此外該惡意軟件能夠屏幕截圖、泄露系統(tǒng)數(shù)據(jù)、以及竊取信息，包括瀏覽器 Cookie、NordVPN、Telegram、Discord、以及 Steam 賬戶的憑據(jù)。

叫賣(mài)收集來(lái)的數(shù)據(jù)的 Telegram 頻道

通過(guò)對(duì)攻擊鏈條和惡意軟件分發(fā)方式的分析，Trend Micro 認(rèn)為 Panda Stealer 與 Phobos 勒索軟件（以及 4 月份報(bào)告中提到的 LockBit）存在許多相似之處。

盡管未將該活動(dòng)歸因于特定的網(wǎng)絡(luò)攻擊者，但 Trend Micro 還是順著命令與控制服務(wù)器，反向找到了幕后黑手的 IP 地址、以及從 Shock Hosting 租用的 VPS 服務(wù)器（后者已處于被掛起的狀態(tài)）。