Un actor de amenazas de habla vietnamita ha sido vinculado a una campaña de robo de información dirigida a entidades gubernamentales y educativas en Europa y Asia con un nuevo malware basado en Python llamado Ladrón de PXA.
El malware “se dirige a la información confidencial de las víctimas, incluidas las credenciales de varias cuentas en línea, clientes VPN y FTP, información financiera, cookies del navegador y datos del software de juegos”, dijeron los investigadores de Cisco Talos Joey Chen, Alex Karkins y Chetan Raghuprasad.
“PXA Stealer tiene la capacidad de descifrar la contraseña maestra del navegador de la víctima y la utiliza para robar las credenciales almacenadas de varias cuentas en línea”
Las conexiones con Vietnam surgen de la presencia de comentarios vietnamitas y una cuenta de Telegram codificada llamada “Lone None” en el programa de ladrones, la última de las cuales incluye un ícono de la bandera nacional de Vietnam y una imagen del emblema del Ministerio Público de Vietnam. Seguridad.
Cisco Talos dijo que observó al atacante vendiendo credenciales de cuentas de Facebook y Zalo, y tarjetas SIM en el canal de Telegram “Mua Bán Scan MINI”, que anteriormente había sido vinculado a otro actor de amenazas llamado CoralRaider. También se ha descubierto que Lone None está activo en otro grupo vietnamita de Telegram operado por CoralRaider llamado “Cú Black Ads – Dropship”.
Dicho esto, actualmente no está claro si estos dos conjuntos de intrusión están relacionados, si llevan a cabo sus campañas de forma independiente el uno del otro.
“Las herramientas compartidas por el atacante en el grupo son utilidades automatizadas diseñadas para administrar varias cuentas de usuario. Estas herramientas incluyen una herramienta de creación por lotes de Hotmail, una herramienta de extracción de correo electrónico y una herramienta de modificación por lotes de cookies de Hotmail”, dijeron los investigadores.
“Los paquetes comprimidos proporcionados por el actor de amenazas a menudo contienen no sólo los archivos ejecutables de estas herramientas sino también su código fuente, lo que permite a los usuarios modificarlos según sea necesario”.
Hay pruebas que sugieren que dichos programas se ofrecen a la venta a través de otros sitios como aehack(.)com que afirman proporcionar herramientas gratuitas de pirateo y trampa. Los tutoriales sobre el uso de estas herramientas se comparten a través de canales de YouTube, lo que destaca aún más que existe un esfuerzo concertado para comercializarlas.
Las cadenas de ataques que propagan PXA Stealer comienzan con un correo electrónico de phishing que contiene un archivo adjunto ZIP, que incluye un cargador basado en Rust y una carpeta oculta que, a su vez, incluye varios scripts por lotes de Windows y un archivo PDF señuelo.
La ejecución del cargador activa los scripts por lotes, que son responsables de abrir el documento señuelo, un formulario de solicitud de empleo de Glassdoor, al mismo tiempo que ejecuta comandos de PowerShell para descargar y ejecutar una carga útil capaz de deshabilitar los programas antivirus que se ejecutan en el host, seguido de la implementación del ladrón mismo.
Una característica notable de PXA Stealer es su énfasis en robar cookies de Facebook, usarlas para autenticar una sesión e interactuar con Facebook Ads Manager y Graph API para recopilar más detalles sobre la cuenta y su información asociada relacionada con los anuncios.
El ataque a cuentas comerciales y publicitarias de Facebook ha sido un patrón recurrente entre los actores de amenazas vietnamitas, y PXA Stealer demuestra no ser diferente.
La divulgación se produce cuando IBM X-Force detalló una campaña en curso desde mediados de abril de 2023 que entrega StrelaStealer a víctimas en toda Europa, específicamente Italia, España, Alemania y Ucrania. La actividad se ha atribuido a un corredor de acceso inicial (IAB) de “rápida maduración” al que rastrea como Hive0145, que se cree que es el único operador del malware ladrón.
“Los correos electrónicos de phishing utilizados en estas campañas son notificaciones de facturas reales, que han sido robadas a través de credenciales de correo electrónico previamente exfiltradas”, dijeron los investigadores Golo Mühr, Joe Fasulo y Charlotte Hammond. “StrelaStealer está diseñado para extraer las credenciales de usuario almacenadas en Microsoft Outlook y Mozilla Thunderbird”.
La popularidad del malware ladrón se evidencia en la continua evolución de familias existentes como RECORDSTEALER (también conocido como RecordBreaker o Raccoon Stealer V2) y Rhadamanthys, y el surgimiento constante de otras nuevas como Amnesia Stealer y Glove Stealer, a pesar de los esfuerzos de las autoridades por desbaratarlas.
“Glove Stealer utiliza un módulo de soporte dedicado para evitar el cifrado vinculado a aplicaciones mediante el uso del servicio IElevator”, dijo el investigador de Gen Digital, Jan Rubín. “Si bien se observa que se propaga a través de correos electrónicos de phishing que se parecen a ClickFix, también intenta imitar una herramienta de reparación que los usuarios podrían usar para solucionar problemas que puedan haber encontrado”.