Détection de PXA Stealer : Des hackers vietnamiens ciblent les secteurs public et éducatif en Europe et en Asie
Table des matières :
Dans le sillage de la récente vague de cyber-attaques exploitant un Strela Stealer très évasif en Europe centrale et du sud-ouest, un nouveau infostealer se met en lumière en ciblant les données sensibles des secteurs gouvernemental et éducatif à travers l’Europe et l’Asie. Les défenseurs ont observé une campagne de vol d’informations en cours attribuée à des adversaires de langue vietnamienne qui exploitent un nouveau malware basé sur Python appelé PXA Stealer.
Détection du PXA Stealer
Selon le Google Cloud Security Forecast pour 2025, il y a une augmentation préoccupante de la sophistication et de l’efficacité des malwares de vol d’informations, qui devrait croître l’année prochaine. La campagne en cours utilisant un nouvel infostealer, PXA Stealer, nécessite une ultra-réactivité des défenseurs en raison des capacités avancées du malware et de sa large portée d’attaque couvrant l’Europe et l’Asie. La plateforme SOC Prime pour la défense cybernétique collective offre un ensemble d’algorithmes de détection pour aider les défenseurs à contrer les cyber-attaques exploitant le PXA Stealer.
Toutes les détections sont mappées à MITRE ATT&CK®, enrichies avec un contexte de cyber-menace pertinent, comme des CTI métadonnées adaptées et exploitables, et peuvent être appliquées à plus de 30 solutions SIEM, EDR, et Data Lake pour une détection des menaces multiplateforme. Appuyez sur Explorer les Détections pour accéder aux règles Sigma agnostiques du fournisseur correspondantes pour la détection du PXA Stealer.
Analyse du PXA Stealer
Les chercheurs de Cisco Talos ont identifié une nouvelle campagne de vol d’informations menée par des hackers parlant vietnamien ciblant les organismes d’État et les organisations éducatives en Europe, y compris en Suède et au Danemark, et en Asie. Les adversaires exploitent un malware basé sur Python récemment découvert appelé PXA Stealer, conçu pour extraire des données sensibles telles que les identifiants pour les comptes en ligne, les clients VPN et FTP, les détails financiers, les cookies du navigateur et les informations provenant des applications de jeux. La capacité notable du PXA Stealer est de déchiffrer le mot de passe maître du navigateur de la victime pour extraire les identifiants stockés pour divers comptes en ligne.
Bien que le domaine hébergeant les scripts malveillants et le PXA Stealer appartienne à un fournisseur de services SEO vietnamien, il n’est pas encore clair si les attaquants l’ont compromis ou utilisé intentionnellement. Cependant, des liens vers le Vietnam sont évidents à travers des commentaires en vietnamien dans le programme du voleur et un compte Telegram codé en dur appelé « Lone None », qui présente une icône du drapeau national du Vietnam et une image de l’emblème du ministère vietnamien de la Sécurité publique.
Selon l’enquête, les adversaires ont utilisé un bot Telegram pour l’exfiltration de données, avec la charge utile contenant des tokens de bot Telegram et des identifiants de chat sous leur contrôle. En outre, les chercheurs ont découvert l’activité de l’attaquant dans le canal Telegram clandestin « Mua Bán Scan MINI », où ils échangent des comptes Facebook et Zalo, des cartes SIM, des identifiants et des données de blanchiment d’argent. De plus, les adversaires sont liés au canal Telegram clandestin « Cú Black Ads – Dropship », promouvant des outils pour gérer les comptes utilisateur, les services proxy et la création de comptes en lot. Bien qu’ils apparaissent dans le même groupe Telegram que CoralRaider, leur connexion avec le gang reste incertaine.
Notamment, les hackers partagent des outils automatisés dans le groupe pour gérer plusieurs comptes, y compris des créateurs de lots Hotmail, des mineurs d’email et des outils de modification de cookies. Ces outils, souvent fournis avec le code source pour personnalisation, sont également vendus sur des sites comme aehack[.]com et promus via une chaîne YouTube avec des tutoriels d’utilisation, montrant un effort organisé pour commercialiser et instruire les utilisateurs.
Le flux d’infection commence par un e-mail de phishing avec la pièce jointe ZIP contenant le dossier caché et l’exécutable chargeur Rust malveillant, qui sont déposés sur la machine de la victime lors de l’extraction d’une archive. L’exécution du chargeur Rust déclenche les scripts batch, qui sont responsables de l’ouverture du document leurre, un formulaire de candidature Glassdoor, tout en exécutant également des commandes PowerShell pour télécharger et exécuter une charge utile capable de désactiver les programmes antivirus exécutés sur l’hôte, suivis du déploiement du voleur lui-même.
PXA Stealer peut déchiffrer la clé principale du navigateur, qui protège les données sensibles telles que les mots de passe et les cookies sur des navigateurs comme Google Chrome et ceux basés sur Chromium. Cela permet à l’attaquant d’accéder aux identifiants stockés et à d’autres informations du navigateur. Il extrait également les chemins de profil utilisateur des navigateurs comme Mozilla Firefox et d’autres via le fichier profiles.ini pour récupérer des mots de passe enregistrés ou d’autres données. De plus, le voleur cible les détails des cartes de crédit dans la base de données « webappsstore.sqlite ».
Une caractéristique clé du PXA Stealer est son attention à voler les cookies Facebook, les utilisant pour authentifier des sessions et accéder au gestionnaire de publicités Facebook et à l’API Graph pour obtenir davantage d’informations sur les comptes et les publicités. La campagne est également remarquable pour ses techniques avancées d’obfuscation dans les scripts batch, rendant plus difficile la détection de la présence de l’infection.
Avec le nombre croissant de campagnes de vol d’informations ciblant des organisations à travers divers secteurs d’activité et dans différentes régions géographiques, renforcer une défense proactive pour minimiser les risques de vol de données est crucial. La suite de produits complète de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée, et la détection avancée des menaces permet aux équipes de sécurité de prendre de l’avance sur les menaces émergentes ou d’identifier toute présence de malware dans leur environnement dès les premières étapes de l’attaque tout en améliorant la résilience cybernétique de l’organisation.
