Detección de PXA Stealer: Hackers Vietnamitas Atacan los Sectores Público y Educativo en Europa y Asia

[post-views]
noviembre 18, 2024 · 5 min de lectura
Detección de PXA Stealer: Hackers Vietnamitas Atacan los Sectores Público y Educativo en Europa y Asia

A raíz de la reciente ola de ciberataques que aprovechan un sumamente evasivo Strela Stealer en Europa Central y Sudoccidental, un nuevo infostealer entra en el foco de atención, apuntando a datos sensibles dentro de los sectores gubernamental y educativo en toda Europa y Asia. Los defensores han observado una campaña continua de robo de información atribuida a adversarios de habla vietnamita que aprovechan un nuevo malware basado en Python denominado PXA Stealer.

Detección de PXA Stealer

Según el Pronóstico de Seguridad en la Nube de Google para 2025, hay un preocupante aumento en la sofisticación y efectividad del malware de robo de información, que se espera que crezca en el próximo año. La campaña en curso usando un nuevo infostealer, PXA Stealer, requiere una ultra-responsabilidad de los defensores debido a las avanzadas capacidades del malware y a un amplio ámbito de ataque que abarca Europa y Asia. La plataforma SOC Prime para la defensa cibernética colectiva ofrece un conjunto de algoritmos de detección para ayudar a los defensores a frustrar los ciberataques que aprovechan PXA Stealer.

Todas las detecciones están mapeadas a MITRE ATT&CK®, enriquecidas con contexto relevante de amenazas cibernéticas, como CTI metadatos accionables y personalizados, y pueden aplicarse en más de 30 soluciones de SIEM, EDR y Data Lake para detección de amenazas multiplataforma. Presiona Explorar Detecciones para acceder a las correspondientes reglas Sigma sin dependencia de proveedor para la detección de PXA Stealer.

Explorar Detecciones

Análisis de PXA Stealer

Investigadores de Cisco Talos han identificado una nueva campaña de robo de información liderada por hackers de habla vietnamita que apuntan a organismos estatales y organizaciones educativas en toda Europa, incluidos Suecia y Dinamarca, y Asia. Los adversarios aprovechan un malware basado en Python recién descubierto llamado PXA Stealer, diseñado para extraer datos sensibles como credenciales de cuentas en línea, clientes VPN y FTP, detalles financieros, cookies de navegador e información de aplicaciones de juegos. La notable capacidad de PXA Stealer es descifrar la contraseña maestra del navegador de la víctima para extraer credenciales almacenadas para varias cuentas en línea.

Mientras que el dominio, que aloja scripts maliciosos y PXA Stealer, pertenece a un proveedor de servicios SEO vietnamita, aún no está claro si los atacantes lo comprometieron o lo usaron intencionalmente. Sin embargo, los vínculos con Vietnam son evidentes a través de comentarios en vietnamita dentro del programa del stealer y una cuenta de Telegram codificada llamada “Lone None”, que presenta un ícono de la bandera nacional de Vietnam y una imagen del emblema del Ministerio de Seguridad Pública de Vietnam.

Según la investigación, los adversarios utilizaron un bot de Telegram para la exfiltración de datos, con la carga útil que contiene tokens de bot de Telegram e IDs de chat bajo su control. Además, los investigadores descubrieron la actividad del atacante en el canal subterráneo de Telegram “Mua Bán Scan MINI”, donde comercian con cuentas de Facebook y Zalo, tarjetas SIM, credenciales y datos de blanqueo de dinero. Además, los adversarios están vinculados al canal subterráneo de Telegram “Cú Black Ads – Dropship”, que promueve herramientas para gestionar cuentas de usuario, servicios de proxy y creación masiva de cuentas. Aunque aparecen en el mismo grupo de Telegram que CoralRaider, su conexión con la banda sigue siendo incierta.

Notablemente, los hackers comparten herramientas automatizadas en el grupo para gestionar múltiples cuentas, incluidos creadores de lotes de Hotmail, mineros de correo electrónico y herramientas de modificación de cookies. Estas herramientas, a menudo agrupadas con código fuente para personalización, también se venden en sitios como aehack[.]com y se promocionan a través de un canal de YouTube con tutoriales de uso, mostrando un esfuerzo organizado para comercializar e instruir a los usuarios.

El flujo de infección comienza con un correo electrónico de phishing con el archivo adjunto ZIP que contiene la carpeta oculta y el ejecutable del cargador malicioso Rust, que se despliegan en la máquina de la víctima al extraer un archivo. La ejecución del cargador Rust activa los scripts de lote, que son responsables de abrir el documento señuelo, un formulario de solicitud de empleo de Glassdoor, mientras también ejecutan comandos de PowerShell para descargar y ejecutar una carga útil capaz de desactivar programas antivirus en el host, seguido del despliegue del propio stealer.

PXA Stealer puede descifrar la clave maestra del navegador, que protege datos sensibles como contraseñas y cookies en navegadores como Google Chrome y otros basados en Chromium. Esto permite al atacante acceder a credenciales almacenadas y otra información del navegador. También extrae rutas de perfiles de usuario de navegadores como Mozilla Firefox y otros a través del archivo profiles.ini para recuperar contraseñas guardadas u otros datos. Además, el stealer apunta a los detalles de tarjetas de crédito desde la base de datos «webappsstore.sqlite».

Una característica clave de PXA Stealer es su enfoque en robar cookies de Facebook, usándolas para autenticar sesiones y acceder a Facebook Ads Manager y Graph API para obtener más información relacionada con cuentas y anuncios. La campaña también es notable por emplear técnicas avanzadas de ofuscación en los scripts de lote, haciéndolo más difícil de detectar la presencia de la infección.

Con el creciente número de campañas de robo de información dirigidas a organizaciones a través de diversos verticales de negocio y en diferentes regiones geográficas, es crucial fortalecer la defensa proactiva para minimizar los riesgos de robo de datos. La completa suite de productos de SOC Prime para la ingeniería de detección impulsada por IA, la búsqueda automatizada de amenazas y la detección avanzada de amenazas permite a los equipos de seguridad adelantarse a las amenazas emergentes o identificar cualquier presencia de malware en su entorno en las etapas más tempranas del ataque, mientras mejora la resiliencia cibernética de la organización.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Blog, Últimas Amenazas — 5 min de lectura
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Últimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko