A biztonságtechnikai kutatók új veszélyre hívták fel a figyelmet, ami nem más, mint egy kifinomult malware, a Panda Stealer. A kártékony kód elsősorban a kriptovalutákat tároló virtuális pénztárcákra utazik, de ha már a rendszeren van, számos egyéb kényes adatot is elküld készítőinek, plusz még képernyőfotót is tud készíteni, azaz összességében elég sok kellemetlenséget tud okozni.
A Trend Micro szakemberei szerint a Panda Stealer malware adathalász e-mailek formájában terjed, amelyek üzleti ajánlatkérő levélnek álcázzák magukat, és természetesen csatolmányuk is van, méghozzá XLSM formátumú, ami kártékony makrókkal teletömve várja, hogy megnyissa őket a gyanútlan felhasználó. Ha a fájlt megnyitják és lefutnak a makrók, akkor aktiválódik egy betöltő algoritmus, majd a fő kódcsomag is a rendszerre, ami az adatlopást végzi. Alternatív módon akár egy második XLS fájl is letöltődhet, ami egy PowerShell parancsnak álcázott formulát tartalmaz, ez pedig a paste.ee-hez csatlakozik, ahonnan egy újabb PowerShell parancsot tölt le, hogy a kártékony kód a rendszerre kerüljön és munkához lásson.
Amennyiben a letöltés és a kártékony kód elindítása sikerrel jár, a Panda Stealer azonnal elkezd kutatni, hogy kriptovaluta-tárcákkal kapcsolatos kulcsokat, címeket, illetve egyéb adatokat szerezzen be, például tranzakciókkal kapcsolatos információkat is. A malware a kriptovalutákat tároló tárcák közül a Dash, a Bytecoin, a Litecoin és az Ethereum esetében jelent veszélyt, az viszont egyelőre rejtély, hogy az egyik legfrissebb kriptovalutára, a Chiára is felkészítették-e. A kriptovalutákkal kapcsolatos értékes információk mellett egyéb dolgokat is lophat a Panda Stealer, például NordVPN, Telegram, Discord és Steam hozzáférési adatokat is. Ráadásul még a webböngészők által tárolt sütiket és jelszavakat is képes ellopni, azaz elég komoly fejfájást okozhat mindazoknak, akiket sikeresen megtámad.
Az egyelőre nem világos, mely hackercsapat áll a Panda Stealer mögött, de a TrendMicro szakemberei már azonosítottak egy IP címet, amelyen keresztül vezérelték a malware-t, a hozzá tartozó virtuális szerver pedig már le is van kapcsolva. Sajnos ez persze nem lesz elég, ugyanis a VirusTotal információi szerint az adatbázisa 264 hasonló fájlt tartalmaz, amelyek összesen 140 szerverrel vannak kapcsolatban, és tíznél is több letöltőoldalt használnak, köztük Discordra mutató linkeket is, így a malware viszonylag könnyedén hozzáférhető a kiberbűnözők számára.
