Pencuri informasi baru mengejar dompet cryptocurrency dan kredensial untuk aplikasi termasuk NordVPN, Telegram, Discord, dan Steam.

Pencuri Panda menggunakan e mail spam dan metode distribusi tanpa file yang sama yang sulit dideteksi yang digunakan oleh baru-baru ini Phobos kampanye ransomware ditemukan oleh Morfisek.

Kampanye serangan tampaknya terutama menargetkan pengguna di Australia, Jerman, Jepang, dan Amerika Serikat.

Panda Stealer ditemukan oleh Trend Micro pada awal April. Peneliti ancaman telah mengidentifikasi dua rantai infeksi yang digunakan oleh kampanye tersebut.

Mereka berkata: “Dalam satu, lampiran .XLSM berisi makro yang mengunduh loader. Kemudian, loader mengunduh dan mengeksekusi pencuri utama.

“Rantai infeksi lainnya melibatkan document .XLS terlampir yang berisi rumus Excel yang menggunakan perintah PowerShell untuk mengakses paste.ee, alternatif Pastebin, yang mengakses perintah PowerShell terenkripsi kedua.”

Setelah dipasang, Pencuri Panda dapat mengumpulkan detail seperti kunci pribadi dan catatan transaksi masa lalu dari berbagai dompet mata uang electronic korbannya, termasuk Dash, Bytecoin, Litecoin, dan Ethereum.

Kartu lain di lengan Panda adalah kemampuan untuk mengambil tangkapan layar dari komputer yang terinfeksi dan kekuatan untuk mengekstrak information dari browser, seperti cookiecutter, kata sandi, dan kartu.

Peneliti menautkan kampanye ke alamat IP yang ditetapkan ke host pribadi virtual yang disewa dari Shock Hosting. Shock Hosting mengatakan bahwa server yang ditetapkan ke alamat ini telah ditangguhkan.

Panda Stealer ditetapkan sebagai varian dari Collector Stealer, yang dibobol oleh aktor ancaman Rusia NCP, juga dikenal sebagai su1c1de.

“Karena pembuat Collector Stealer dapat diakses secara terbuka secara online, kelompok penjahat dunia maya dan script kiddies dapat menggunakannya untuk membuat versi mereka sendiri dari pencuri dan board C&C,” kata peneliti.

Meskipun kedua pencuri berperilaku serupa, keduanya memiliki URL waiter perintah dan kontrol yang berbeda, label construct, dan folder eksekusi.

CTO Michael Gorelik, yang mengepalai tim intelijen ancaman untuk Morphisec, telah melihat jumlah infostealer meningkat sejak jaringan Emotet terganggu.

Saat menganalisis berbagai jenis serangan yang terdeteksi Morphisec di tujuh juta titik akhir perusahaan selama 12 bulan terakhir, Gorelik menemukan bahwa penyerang infosteal merupakan persentase percobaan serangan titik akhir tertinggi (31percent ).