一名讲越南语的攻击者涉嫌发起针对欧洲和亚洲政府和教育机构的信息窃取活动,该活动使用一种名为PXA Stealer的基于 Python 的新型恶意软件。
思科 Talos 研究人员 Joey Chen、Alex Karkins 和 Chetan Raghuprasad表示,该恶意软件“针对受害者的敏感信息,包括各种在线账户的凭证、VPN 和 FTP 客户端、财务信息、浏览器 cookie 以及游戏软件的数据”。
“PXA Stealer 能够解密受害者的浏览器主密码,并利用该密码窃取各种在线账户的存储凭证。”
与越南的联系源于窃取程序中越南评论和一个名为“ Lone None ”的硬编码 Telegram 帐户的存在,后者包括越南国旗图标和越南公安部徽章图片。
思科 Talos 表示,他们观察到攻击者在 Telegram 频道“Mua Bán Scan MINI”中出售 Facebook 和 Zalo 帐户凭证以及 SIM 卡,该频道之前曾与另一个名为CoralRaider 的攻击者有关。此外,还发现 Lone None 活跃于 CoralRaider 运营的另一个越南 Telegram 群组“ Cú Black Ads - Dropship ”。
尽管如此,目前尚不清楚这两组入侵行为是否相关,是否独立开展活动。
研究人员表示:“攻击者在该组织中共享的工具是用于管理多个用户账户的自动化实用程序。这些工具包括 Hotmail 批量创建工具、电子邮件挖掘工具和 Hotmail cookie 批量修改工具。”
“攻击者提供的压缩包通常不仅包含这些工具的可执行文件,还包含其源代码,允许用户根据需要进行修改。”
有证据表明,此类程序通过 aehack[.]com 等其他网站出售,这些网站声称提供免费的黑客和作弊工具。使用这些工具的教程通过YouTube 频道分享,进一步凸显了有人有组织地推销这些工具。
传播 PXA Stealer 的攻击链始于一封包含 ZIP 文件附件的网络钓鱼电子邮件,该附件包含一个基于 Rust 的加载器和一个隐藏文件夹,该文件夹又包含几个 Windows 批处理脚本和一个诱饵 PDF 文件。
加载程序的执行会触发批处理脚本,该脚本负责打开诱饵文档(Glassdoor 工作申请表),同时运行 PowerShell 命令来下载并运行能够禁用主机上运行的防病毒程序的有效负载,然后部署窃取程序本身。
PXA Stealer 的一个值得注意的功能是它着重于窃取 Facebook cookie,使用它们来验证会话并与 Facebook Ads Manager 和 Graph API 交互以收集有关帐户及其相关广告信息的更多详细信息。
针对 Facebook 商业和广告账户进行攻击一直是越南威胁组织经常采取的模式,而 PXA Stealer 也不例外。
IBM X-Force 详细介绍了自 2023 年 4 月中旬以来的一项持续活动,该活动将StrelaStealer传播给欧洲各地的受害者,特别是意大利、西班牙、德国和乌克兰。该活动被归因于它跟踪为 Hive0145 的“快速成熟”的初始访问代理 (IAB),据信它是该信息窃取恶意软件的唯一运营商。
研究人员 Golo Mühr、Joe Fasulo 和 Charlotte Hammond表示:“这些活动中使用的网络钓鱼电子邮件是真实的发票通知,这些通知是通过之前泄露的电子邮件凭证窃取的。” “StrelaStealer 旨在提取存储在 Microsoft Outlook 和 Mozilla Thunderbird 中的用户凭证。”
尽管执法部门努力打击窃取恶意软件,但现有恶意软件家族在不断发展,诸如Amnesia Stealer和 Glove Stealer之类的新恶意软件不断涌现,证明信息窃取恶意软件的流行。
Gen Digital 研究员 Jan Rubín表示:“Glove Stealer 使用专用支持模块,通过IElevator 服务绕过应用程序绑定加密。虽然观察到该病毒通过类似ClickFix 的网络钓鱼电子邮件传播,但它本身也试图模仿用户在解决可能遇到的问题时可能使用的修复工具。”
技术报告:https://blog.talosintelligence.com/new-pxa-stealer/
新闻链接:
https://thehackernews.com/2024/11/vietnamese-hacker-group-deploys-new-pxa.html
