【安全资讯】Panda Stealer：针对加密货币钱包的新型信息窃取程序

研究人员在4月初发现一种名为Panda Stealer的新型信息窃取程序，其正在通过垃圾邮件在全球进行传播。PandaStealer以伪造的Excel文件的形式提供，伪装成企业报价，窃取受害者的加密货币和其他信息。在最近的垃圾邮件活动中，美国、澳大利亚、日本和德国是受影响最大的国家。

最近，黑客已经渗入了Slack和Discord等工作流程和协作工具，绕过安全系统，分发信息窃取者、远程访问木马(RATs)和其他恶意软件。

垃圾邮件感染受害者有两种方式：在一个感染链中，.XLSM附件包含加载程序的宏，该加载程序执行主要的窃取程序。在另一个感染链中，包含Excel公式的.XLS附件会触发一个PowerShell命令来访问paste.ee，而后者又将访问第二个加密的PowerShell命令。下图显示了通过PowerShell命令访问paste.ee URL的Excel公式：

对PowerShell脚本进行解码后发现，它主要用于访问paste.ee URL，以实现无文件有效载荷，通过一系列的调用，最终执行Panda Stealer二进制文件。

Panda Stealer尝试从诸如Bytecoin（BCN），Dash（DASH），以太坊（ETH）和Litecoin（LTC）等加密货币钱包中获取私钥和交易记录等详细信息。此外，它还可以从应用程序（包括NordVPN，Telegram，Discord和Steam）中窃取凭据，还能够获取受感染计算机的屏幕快照，并从浏览器中窃取Cookie、密码等数据。

Panda Stealer是恶意软件Collector Stealer的改进版，在分发过程中也采用无文件方法来逃避检测。 它在最初的感染后在内存中运行，而不是在硬盘上存储文件。 

研究人员找到了疑似黑客正在使用的IP地址：该地址托管在从Shock Hosting租用的虚拟专用服务器（VPS）上，该服务器已出于测试目的而遭到破坏。研究人员将发现报告给Shock Hosting后，他们确定分配给该IP地址的服务器已暂停运营。