Detecção do PXA Stealer: Hackers Vietnamitas Atacam os Setores Público e Educacional na Europa e Ásia
Índice:
Na esteira da recente onda de ciberataques aproveitando-se de um método altamente evasivo Strela Stealer na Europa Central e Sudoeste, um novo infostealer ganha destaque ao visar dados sensíveis nos setores governamentais e educacionais em toda a Europa e Ásia. Os defensores observaram uma campanha contínua de roubo de informações atribuída a adversários de língua vietnamita que usam um novo malware baseado em Python chamado PXA Stealer.
Detecção de PXA Stealer
De acordo com o Previsão de Segurança da Nuvem do Google para 2025, há um aumento preocupante na sofisticação e eficácia do malware de roubo de informações, que deve crescer no próximo ano. A campanha em andamento usando um novo infostealer, PXA Stealer, requer ultra-responsividade dos defensores devido às avançadas capacidades do malware e ao amplo escopo de ataque cobrindo a Europa e a Ásia. A Plataforma SOC Prime para defesa cibernética coletiva oferece um conjunto de algoritmos de detecção para ajudar os defensores a combater ciberataques que utilizam o PXA Stealer.
Todas as detecções são mapeadas para MITRE ATT&CK®, enriquecidas com contexto relevante de ameaças cibernéticas, como CTI metadados acionáveis e sob medida, e podem ser aplicadas em mais de 30 soluções SIEM, EDR e Data Lake para detecção de ameaças em várias plataformas. Pressione Explorar Detecções para acessar as regras Sigma independentes de fornecedor correspondentes para a detecção do PXA Stealer.
Análise do PXA Stealer
Pesquisadores da Cisco Talos identificaram uma nova campanha de roubo de informações liderada por hackers de língua vietnamita visando órgãos estatais e organizações educacionais em toda a Europa, incluindo Suécia e Dinamarca, e Ásia. Os adversários empregam um malware recém-descoberto baseado em Python chamado PXA Stealer, projetado para extrair dados sensíveis, como credenciais para contas online, clientes VPN e FTP, detalhes financeiros, cookies de navegador e informações de aplicativos de jogos. A notável capacidade do PXA Stealer é descriptografar a senha mestre do navegador da vítima para extrair credenciais armazenadas para várias contas online.
Enquanto o domínio, que hospeda scripts maliciosos e o PXA Stealer, pertence a um fornecedor de serviços de SEO vietnamita, ainda não está claro se os atacantes o comprometeram ou o usaram intencionalmente. No entanto, os vínculos com o Vietnã são evidentes através de comentários em vietnamita dentro do programa de roubo e uma conta de Telegram codificada chamada “Lone None”, que apresenta um ícone da bandeira nacional do Vietnã e uma imagem do emblema do Ministério da Segurança Pública do Vietnã.
De acordo com a investigação, os adversários utilizaram um bot do Telegram para exfiltração de dados, com o payload contendo tokens de bot do Telegram e IDs de chat sob seu controle. Além disso, os pesquisadores descobriram a atividade do atacante no canal subterrâneo do Telegram “Mua Bán Scan MINI”, onde eles comercializam contas do Facebook e Zalo, cartões SIM, credenciais e dados de lavagem de dinheiro. Ademais, os adversários estão ligados ao canal subterrâneo do Telegram “Cú Black Ads – Dropship”, promovendo ferramentas para gerenciar contas de usuário, serviços de proxy e criação em massa de contas. Embora apareçam no mesmo grupo do Telegram que o CoralRaider, sua conexão com a gangue permanece incerta.
Notavelmente, os hackers compartilham ferramentas automatizadas no grupo para gerenciar várias contas, incluindo criadores em lote do Hotmail, mineradores de e-mail e ferramentas de modificação de cookies. Essas ferramentas, frequentemente acompanhadas pelo código-fonte para personalização, também são vendidas em sites como aehack[.]com e promovidas via um canal no YouTube com tutoriais de uso, demonstrando um esforço organizado para comercializar e instruir usuários.
O fluxo de infecção começa com um e-mail de phishing com o anexo ZIP que contém a pasta oculta e o executável malicioso Rust loader, que são colocados na máquina da vítima ao extrair um arquivo. A execução do Rust loader aciona os scripts em lote, que são responsáveis por abrir o documento isca, um formulário de inscrição de emprego do Glassdoor, enquanto também executam comandos PowerShell para baixar e executar um payload capaz de desabilitar programas antivírus em execução no host, seguido pelo próprio stealer.
O PXA Stealer pode descriptografar a chave mestre do navegador, que protege dados sensíveis como senhas e cookies em navegadores como Google Chrome e baseados em Chromium. Isso permite que o atacante acesse credenciais armazenadas e outras informações do navegador. Ele também extrai caminhos de perfil de usuário de navegadores como Mozilla Firefox e outros via o arquivo profiles.ini para recuperar senhas salvas ou outros dados. Além disso, o stealer visa detalhes de cartões de crédito do banco de dados “webappsstore.sqlite”.
Uma característica chave do PXA Stealer é seu foco em roubar cookies do Facebook, usando-os para autenticar sessões e acessar o Facebook Ads Manager e o Graph API para mais informações relacionadas a contas e anúncios. A campanha também é notável por empregar técnicas avançadas de ofuscação nos scripts em lote, tornando mais difícil detectar a presença da infecção.
Com o crescente número de campanhas de roubo de informações visando organizações em diversos setores empresariais e em diferentes regiões geográficas, fortalecer a defesa proativa para minimizar os riscos de roubo de dados é crucial. O pacote completo de produtos da SOC Prime para engenharia de detecção alimentada por IA, caça ameaças automatizada e detecção avançada de ameaças permite que as equipes de segurança fiquem à frente de ameaças emergentes ou identifiquem qualquer presença de malware em seu ambiente nos estágios iniciais do ataque, enquanto melhoram a resiliência cibernética da organização.
