احذر من هذه البرامج التي تسرق عملاتك الرقمية
يستهدف برنامج ضار جديد محافظ العملات الرقمية وينتشر عبر رسائل البريد الإلكتروني العشوائية وقنوات “Discord”.
حيث استهدفت البرامج الضارة، التي يطلق عليها اسم “Panda Stealer”، الضحايا في الولايات المتحدة وألمانيا واليابان وأستراليا، وكانت شركة الأمن “Trend Micro” أول من اكتشف هذه البرامج.
وفي مدونة حديثة، كشفت الشركة التي تتخذ من طوكيو مقراً لها أن “Panda Stealer” يتم تسليمها من خلال رسائل البريد الإلكتروني العشوائية التي تتظاهر بأنها اقتباسات تجارية لإغراء الضحايا المطمئنين بفتح ملفات “إكسل” ضارة.
وكشفت شركة الأمان أن البرنامج الخبيث يحتوي على مرحلتين في الأولى، يقوم المجرمون بإرفاق مستند XLSM يحتوي على وحدات ماكرو ضارة، وبمجرد تمكين الضحية لوحدات الماكرو، تقوم البرامج الضارة بتنزيل وتنفيذ عملية السرقة.
أما في الثانية، تأتي رسائل البريد الإلكتروني العشوائية مع مرفق XLS يحتوي على صيغة Excel تخفي أمر PowerShell. يحاول هذا الأمر الوصول إلى pastebin ، وهو بديل Pastebin ، والذي يصل بدوره إلى أمر PowerShell مشفر ثانٍ.
ووفقاً لـ Trend Micro، يتم استخدام هذا الأمر للوصول إلى عناوين URL لسهولة تنفيذ الحمولات الخالية من الملفات.
وأشارت الشركة إلى أنه “بمجرد التثبيت، يمكن لـ Panda Stealer جمع تفاصيل مثل المفاتيح الخاصة وسجلات المعاملات السابقة من محافظ العملات الرقمية المختلفة للضحية، بما في ذلك Dash و Bytecoin و Litecoin و Ethereum”.
ومع ذلك، لا تقتصر البرامج الضارة على محافظ العملات الرقمية، بل تتم سرقة بيانات الاعتماد لتطبيقات أخرى مثل Telegram و NordVPN و Discord و Steam.
كما أنه قادر على التقاط لقطات شاشة للكمبيوتر المصاب والتقاط ونقل البيانات من المتصفحات مثل ملفات تعريف الارتباط وكلمات المرور.
وعثرت Trend Micro على 264 ملفاً آخر مشابهاً لـ Panda Stealer على VirusTotal، وتم استخدام أكثر من 140 خادماً للقيادة والتحكم (C&C) وأكثر من 10 مواقع تم تنزيلها بواسطة هذه العينات، وخلصت إلى أن بعض مواقع التنزيل كانت من Discord ، وتحتوي على ملفات بأسماء مثل” build.exe “، مما يشير إلى أن الجهات الفاعلة التهديد ربما تستخدم Discord لمشاركة إصدار Panda Stealer.
وربط باحثو الأمن حملة البرامج الضارة Panda Stealer بعنوان IP المخصص للخوادم الافتراضية الخاصة المستأجرة من Shock Hosting، ومع ذلك، ادعت الشركة المضيفة أن الخادم الذي خصصته لهذا العنوان المحدد قد تم تعليقه منذ ذلك الحين.
