本週，趨勢科技（Trend Micro）安全研究人員分享了有關“Panda Stealer”惡意軟件的詳情。可知除了垃圾郵件、攻擊者還選擇了將它放入Excel文檔並通過Discord渠道進行傳播，以竊取用戶的加密貨幣。由目前上傳至VirusTotal的樣本和調查分析可知，該惡意軟件以波及美國、澳大利亞、日本和德國等地，且感染鏈條通常可追溯到一封網絡釣魚郵件。

已有受害者通過Discord 鏈接，從惡意網站下載了可執行文件。

安全研究人員指出，Panda Stealer 會在釣魚郵件中將自身偽裝成企業詢價。在欺騙受害者打開了.XLSM 後綴的文件並啟用宏操作後，惡意軟件就會嘗試下載並執行主竊取程序。

此外Panda Stealer 還有另一種感染途徑，通過在.XLS 格式的附件中插入一個隱藏了PowerShell 命令Excel 公式，惡意軟件會在觸發後嘗試訪問paste.ee 這個網址，以將PowerShell 腳本引入受害者的系統。

惡意網址與文件（來自：Trend Micro）

Trend Micro 表示，Visual Basic 中的CallByName 導出功能，被攻擊者用於從paste.ee 網址調用內存中的.NET 程序集。

通過Agile.NET 混淆器加載的程序集，將把合法的MSBuild.exe 進程掏空，然後用攻擊者的有效負載替換（來自另一個paste.ee 網址的十六進制編碼的Panda Stealer 二進製文件） 。

Panda Stealer 的屏幕截圖

下載完成後，Panda Stealer 將檢測與以太坊（ETH）、萊特幣（LTC）、字節幣（BCN）、達世幣（DASH）等加密貨幣有關的錢包密鑰和地址。

此外該惡意軟件能夠屏幕截圖、洩露系統數據、以及竊取信息，包括瀏覽器Cookie、NordVPN、Telegram、Discord、以及Steam 賬戶的憑據。

叫賣收集來的數據的Telegram 頻道

通過對攻擊鏈條和惡意軟件分發方式的分析，Trend Micro 認為Panda Stealer 與Phobos 勒索軟件（以及4 月份報告中提到的LockBit）存在許多相似之處。

儘管未將該活動歸因於特定的網絡攻擊者，但Trend Micro 還是順著命令與控制服務器，反向找到了幕後黑手的IP 地址、以及從Shock Hosting 租用的VPS 服務器（後者已處於被掛起的狀態）。