Rilevamento di PXA Stealer: Hacker vietnamiti colpiscono i settori pubblico ed educativo in Europa e Asia

[post-views]
Novembre 18, 2024 · 6 min di lettura
Rilevamento di PXA Stealer: Hacker vietnamiti colpiscono i settori pubblico ed educativo in Europa e Asia

Sulla scia della recente ondata di attacchi informatici che sfruttano un altamente evasivo Strela Stealer nell’Europa centrale e sudoccidentale, un nuovo infostealer entra sotto i riflettori mirato a dati sensibili all’interno dei settori governativo ed educativo in tutta Europa e Asia. I difensori hanno osservato una campagna di furto di informazioni in corso attribuita ad avversari di lingua vietnamita che sfruttano un nuovo malware basato su Python chiamato PXA Stealer.

Rilevamento di PXA Stealer

Secondo il Google Cloud Security Forecast per il 2025, si registra un preoccupante aumento nella sofisticazione e nell’efficacia dei malware di furto di informazioni, che si prevede crescerà nel prossimo anno. La campagna in corso utilizzando un nuovo infostealer, PXA Stealer, richiede un’ultra-prontezza dei difensori a causa delle avanzate capacità del malware e dell’ampia portata dell’attacco che si estende in Europa e Asia. La piattaforma SOC Prime per la difesa cibernetica collettiva offre un set di algoritmi di rilevamento per aiutare i difensori a contrastare gli attacchi informatici che sfruttano PXA Stealer.

Tutti i rilevamenti sono mappati a MITRE ATT&CK®, arricchiti con un contesto di minacce informatiche pertinenti, come CTI metadati personalizzati e azionabili, e possono essere applicati su oltre 30 soluzioni SIEM, EDR e Data Lake per il rilevamento delle minacce multipiattaforma. Premi Esplora Rilevamenti per raggiungere le regole Sigma indipendenti dal fornitore per il rilevamento di PXA Stealer.

Esplora Rilevamenti

Analisi di PXA Stealer

I ricercatori di Cisco Talos hanno identificato una nuova campagna di furto di informazioni guidata da hacker di lingua vietnamita che prende di mira enti statali e organizzazioni educative in tutta Europa, compresi Svezia e Danimarca, e Asia. Gli avversari sfruttano un nuovo malware basato su Python scoperto, chiamato PXA Stealer, progettato per estrarre dati sensibili come credenziali per account online, client VPN e FTP, dettagli finanziari, cookie del browser e informazioni da applicazioni di gioco. La straordinaria capacità di PXA Stealer è decifrare la password master del browser della vittima per estrarre le credenziali memorizzate per vari account online.

Sebbene il dominio, che ospita script dannosi e PXA Stealer, appartenga a un fornitore di servizi SEO vietnamita, non è ancora chiaro se gli aggressori lo abbiano compromesso o utilizzato intenzionalmente. Tuttavia, i collegamenti al Vietnam sono evidenti attraverso commenti in vietnamita all’interno del programma stealer e un account Telegram hardcoded chiamato “Lone None”, che presenta un’icona della bandiera nazionale del Vietnam e un’immagine dell’emblema del Ministero della Pubblica Sicurezza del Vietnam.

Secondo l’indagine, gli avversari hanno utilizzato un bot Telegram per l’esfiltrazione dei dati, con il payload contenente token del bot Telegram e ID chat sotto il loro controllo. Inoltre, i ricercatori hanno scoperto l’attività dell’attaccante nel canale Telegram sotterraneo “Mua Bán Scan MINI,” dove commerciano account Facebook e Zalo, schede SIM, credenziali e dati per il riciclaggio di denaro. Inoltre, gli avversari sono collegati al canale Telegram sotterraneo “Cú Black Ads – Dropship”, che promuove strumenti per la gestione degli account utente, servizi di proxy e creazione batch di account. Sebbene appaiano nello stesso gruppo Telegram di CoralRaider, il loro collegamento con la gang rimane incerto.

Notavelmente, gli hacker condividono strumenti automatizzati nel gruppo per la gestione di account multipli, inclusi creatori di elenco Hotmail, miner di e-mail e strumenti di modifica dei cookie. Questi strumenti, spesso forniti con il codice sorgente per la personalizzazione, sono anche venduti su siti come aehack[.]com e promossi tramite un canale YouTube con tutorial d’uso, mostrando uno sforzo organizzato per commercializzare e istruire gli utenti.

Il flusso di infezione inizia con un’e-mail phishing con un allegato ZIP che contiene la cartella nascosta e il caricatore Rust dannoso eseguibile, che vengono depositati sulla macchina della vittima estraendo un archivio. L’esecuzione del caricatore Rust attiva gli script batch, che sono responsabili dell’apertura del documento esca, un modulo di candidatura a Glassdoor, eseguendo contemporaneamente comandi PowerShell per scaricare ed eseguire un payload in grado di disabilitare i programmi antivirus in esecuzione sull’host, seguiti dal lancio dello stealer stesso.

PXA Stealer può decifrare la chiave master del browser, che protegge dati sensibili come password e cookie su browser come Google Chrome e quelli basati su Chromium. Ciò consente all’attaccante di accedere alle credenziali memorizzate e ad altre informazioni del browser. Estrae anche i percorsi del profilo utente dai browser come Mozilla Firefox e altri tramite il file profiles.ini per recuperare password salvate o altri dati. Inoltre, lo stealer prende di mira i dettagli della carta di credito dal database “webappsstore.sqlite”. 

Una caratteristica chiave di PXA Stealer è il suo focus sul furto di cookie di Facebook, utilizzandoli per autenticare sessioni e accedere a Facebook Ads Manager e Graph API per ulteriori informazioni su account e pubblicità. La campagna è anche nota per l’impiego di tecniche di offuscamento avanzate negli script batch, rendendo più difficile rilevare la presenza dell’infezione. 

Con il crescente numero di campagne di furto di informazioni che prendono di mira organizzazioni in diversi settori aziendali e in diverse regioni geografiche, rafforzare la difesa proattiva per ridurre al minimo i rischi di furto di dati è fondamentale. L’intera suite di prodotti di SOC Prime per l’ingegneria del rilevamento basata su AI, la caccia automatizzata alle minacce, e il rilevamento avanzato delle minacce consente ai team di sicurezza di stare al passo con le minacce emergenti o identificare qualsiasi presenza di malware nel loro ambiente nelle fasi più iniziali dell’attacco migliorando la resilienza cibernetica dell’organizzazione. for AI-powered detection engineering, automated threat hunting, and advanced threat detection enables security teams to stay ahead of emerging threats or identify any malware presence in their environment at the earliest attack stages while improving the organization’s cyber resilience. 

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Blog, Ultime Minacce — 6 min di lettura
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko