El malware Panda Stealer roba su criptomoneda

Panda Stealer se implementa a través de correos electrónicos no deseados falsos que exigen ofertas comerciales para atraer a las víctimas no intencionales a abrir archivos de Excel maliciosos. Según Trend Micro, se han identificado dos secuencias de infección: un archivo adjunto .XLSM que contiene una macro que descarga la herramienta de arranque.

Luego, el programa de descarga se descarga y se roba; la segunda cadena de infección incluye un archivo .XLS adicional que contiene una fórmula de Excel que usa el comando de PowerShell para acceder a paste.ee, una solución para Pastebin que la segunda vez que Access cifra los comandos de PowerShell.

Advertencia Figura 1: el malware Panda Stealer roba su criptomoneda

El archivo adjunto .XLSM contiene una macro que descarga el descargador.

Advertencia Figura 2: el malware Panda Stealer roba su criptomoneda

El archivo adjunto .XLS contiene fórmulas de Excel maliciosas.

Advertencia Figura 3: El malware Panda Stealer roba su criptomoneda

Los scripts de PowerShell se cifran y decodifican desde la URL paste.ee.

El malware es un afiliado de Collector Stealer y se vende en varios foros privados y en Telegram.

Una vez instalado, Panda Stealer puede recopilar detalles y registros de transacciones pasadas de varias billeteras virtuales de las víctimas. También puede robar información de inicio de sesión de aplicaciones como NordVPN, Telegram, Discord, Steam y otras. Además, también puede tomar capturas de pantalla de las computadoras infectadas y recuperar datos de los navegadores, como cookies, contraseñas y etiquetas.

Trend Micro identifica una dirección IP que los piratas informáticos creen que se usó para atacar billeteras criptográficas. La dirección IP asignada al servidor virtual (VPS) alquilado por Shock Hosting. Inmediatamente después de la notificación, Shock Hosting confirmó que el servidor al que se asignó esta dirección IP se detuvo.

Para proteger su computadora y sus datos, necesita instalar un software antivirus.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!