‘Panda’ néven futó vírus támadja a kriptotárcákat, a Discord és Telegram fiókokat

Egy új, ‘Panda’ névre keresztelt zsarolóvírus támadja a kriptovaluta tárcákat, valamint más alkalmazások fiókhitelesítő adatait, mint például a NordVPN, a Telegram, a Discord és a Steam.

A ‘Panda‘ néven futó új információ-rabló malware vírust (röviden infostealer-nek is nevezik) a Trend Micro, egy kiberbiztonsági szoftvercég fedezte fel.

„A kriptotárcák ma már ugyanakkora célpontot jelentenek az online lopások számára, mint a bankszámlák.” – nyilatkozták a támadást felfedező Trend Micro elemzői. „Mivel egyre többen kerülnek kapcsolatba a kriptovalutákkal, és az említett kriptovaluták értéke még mindig növekszik, így ezek a támadások egyre nagyobb fenyegetést jelentenek.”

Azt kiberbiztonsági cég azt is elmondta, hogy itt nagyobb a kockázat, mivel a bankon vagy hitelkártyán keresztül történő lopásokkal ellentétben a kriptovaluták esetében nincs egy központi hatóság, aki visszavonhatja a rosszindulatú tranzakciókat. Miután elveszítetted a pénzed, és a tranzakció a blokkláncra került, valószínűleg már soha nem fogod viszontlátni.

panda vírus

Rosszindulatú programok támadása

Egyszerűen elmagyarázva a biztonsági szakemberek szerint a támadás rosszindulatú mellékletet tartalmazó spam üzenetekkel kezdődik. Ez a melléklet a PowerShell parancsfájlokat használja fel, azaz Microsoft saját script alkalmazását, a Panda Stealer malware letöltésére (kódolt formában), amelyeket aztán fájl nélkül tölt be az érintett rendszerbe.

„Mindez önmagában nem különösebben újszerű – a rosszindulatú Office-dokumentumok is jól ismertek, valamint a fájl nélküli betöltés is.” – állítják az elemzők. „A fő ‘új’ szempont itt, hogy most adatokat akarnak ellopni.”

A támadók azon kívül, hogy rosszindulatú programokkal bombázzák meg a kriptovaluta tárcákat, olyan alkalmazásokat is célba vesznek, mint a Discord és a Telegram – a kriptovaluta közösségek népszerű kommunikációs platformjai.

Az áprilisban futó aktív támadások során a spam e-maileket és ugyanazt a ritka, fájl nélküli terjesztési módszert használták mint a más hasonló támadások esetén is. A Morphisec, egy másik kiberbiztonsági cég április elején fedezett fel egy Phobos ransomware támadássorozatot is. Ez a Panda-val azonos fájl nélküli terjesztési módszert használt, ami nagyon megnehezíti a vírusirtó alkalmazások dolgát.

„A Panda és Phobos támadások során használt fájl nélküli terjesztés azt jelenti, hogy nincs aláírás, így a vírusirtó szoftverek nem tudják észlelni a fenyegetést, és nem tudják blokkolni a terjedését.” – nyilatkozta Michael Gorelik, CTO, a Morphisec fenyegetéselhárítási csapatának a vezetője. „Ezért veszélyes mind a fogyasztók tárcájára, mind az olyan nagy vállalkozásokra nézve is, amelyek több védelmi vonallal rendelkeznek.”

Kövesd a legjobb biztonsági gyakorlatokat

Azonban itt is elmondhatjuk, hogy a régóta ismert biztonsági gyakorlatok követése továbbra is érvényes. Az e-mailben elküldött mellékletek ne nyisd meg, az ismeretlen linkekre való kattintást kerüld el, használj a gépeiden antivírus alkalmazásokat. Tehát tegyél meg mindent a rosszindulatú programok és más biztonsági fenyegetések elkerülése érdekében.

A kriptovaluták esetében a legjobb tanács, hogy használjunk saját kriptotárcákat. Azokat védjük erős jelszavakkal, alkalmazzunk többlépcsős hitelesítést és senkinek se adjuk ki a privát kulcsokat. Ha pedig nagyobb értékben akarsz biztonságos módon tartani kriptókat, használjunk hardvertárcákat.