Jenis malware baru, yang dijuluki dengan nama Panda Stealer oleh para peneliti, menyebar melalui email spam dan tautan Discord serta pandangannya tertuju pada mata uang crypto. Email phising muncul sebagai permintaan kutipan bisnis dengan file XLSM terlampir yang dimuat dengan makro maligna.
Panda Stealer muncul sebagai file XLSM yang tidak bersalah dengan makro yang pernah diaktifkan, unduh loader yang menjalankan aplikasi pencuri utama. Atau file XLS yang dapat diunduh, berisikan rumus yang menyembunyikan perintah Powershell yang mengakses paste.ee.
Setelah semuanya berjalan, Panda Stealer mencoba mendeteksi kunci, alamat, dan data lain yang terkait dengan transaksi mata uang crypto dan dash, Bytecoin, Litecoin, dan Ethereum.
Saat ini tidak yakin apakah cryptocurrency baru yakni Chia akan terpengaruh. Itu juga akan mencoba mencuri kredensial dari aplikasi lain seperti NordVPN, Telegram, Discord, dan Steam. Itu mampu mengambil screenshot dari komputer yang terinfeksi dan menyedot seluruh data dari browser seperti cookie, sandi dan kartu.
Panda Stealer tampaknya merupakan varian dari Collector Stealer, sebuah versi crack yang tersedia secara gratis secara online. Meskipun belum ada bukti tentang kelompok kriminal tertentu di balik Panda Stealer, Trend Micro dapat mengidentifikasi alamat IP yang digunakan oleh malware untuk perintah dan kontrol. Ini menyebabkan server virtual Shock Hosting sewaan, dan setelah dilaporkan, server telah ditangguhkan.
Ada kesamaan dalam rantai serangan dan metode distribusi tanpa file dengan ransomware Phobos. Yang secara khusus telah dijelaskan oleh Morphisec, varian Phobos yang “Adil” serupa dalam pendekatan distribusinya dan terus diperbarui untuk mengurangi jejaknya, seperti mengurangi persyaratan enkripsi, agar tetap berada di bawah radar selama mungkin.
Hal ini mungkin tidak cukup untuk memadamkan ancaman, namun karena VirusTotal telah menemukan 264 file serupa dalam database-nya, akan terdapat telepon ke 140 server C&C dan lebih dari 10 situs unduhan. Yang beberapa di antaranya dari Discord, yang mungkin telah digunakan untuk berbagi malware di antara para hackers.