Sentinellabs ve Beazley Security, 2024’ün sonlarından beri gelişmiş anti-anti-anti-anti-anti-anti-anti-anti-anti-analizler, tuzak içeriği ve sertleşmiş komut ve kontrol (C2) altyapısını dahil etmek için hızla gelişen Python tabanlı PXA Stealer’ı konuşlandıran sofistike bir Infostealer kampanyasını ortaya çıkardı.
Vietnamca konuşan siber suçlu ağlarla bağlantılı olan bu operasyon, Telegram’ın otomatik veri açığa çıkması ve para kazanma için API’sinden yararlanır ve yeniden satış için Sherlock gibi yeraltı pazarlarına beslenir.
Pefiltrated günlüklerin analizi, Güney Kore, ABD, Hollanda, Macaristan ve Avusturya’da ağır konsantrasyonlarla en az 62 ülkede 4.000’den fazla benzersiz kurban IP adresi ortaya koymaktadır.
Çalınan Trove, 200.000’den fazla benzersiz şifre, yüzlerce kredi kartı kaydı ve 4 milyondan fazla tarayıcı çerezi içerir ve tehdit aktörlerine mağdurların hesaplarına, finansal verilerine ve kripto para birimi varlıklarına kapsamlı erişim sağlar.
Telegram, Cloudflare çalışanları ve Dropbox gibi meşru platformları silahlandırarak, kampanya operasyonel yükü en aza indirirken, gerçek zamanlı veri hasatını ve hesap devralmaları ve kripto hırsızlığı gibi aşağı yönlü suç faaliyetlerini sağlıyor.
Küresel kurbanları hedefler
Tehdit aktörleri, taktiklerini 2025 yılı boyunca geliştirerek, ilk Windows yürütülebilir yüklerden daha kaçan Python tabanlı varyantlara kaydırdılar.
Nisan 2025’teki erken dalgalar, Windows kayıt defteri anahtarları aracılığıyla kalıcılık oluşturan ve Dropbox’tan ek bileşenler getiren kötü niyetli DLL’ler aracılığıyla imzalanmış Haihaisoft PDF okuyucu yürütülebilir dosyalarla sıkıştırılmış arşivler sunan kimlik avı içeriyordu.
Bu zincirler, malformlanmış PDF’ler olarak gizlenmiş gömülü RAR arşivlerini çözmek için sertifika kullandı, ardından çalma için yeniden adlandırılan Python 3.10 tercümanı (SVCHOST.EXE) dahil olmak üzere Python bağımlılıklarının Winrar ekstraksiyonu.
Temmuz ayına kadar, enfeksiyon zinciri olgunlaştı ve Microsoft Word 2013 ikili dosyalarını, gizli komut istemlerini başlatmak için msvcr100.dll ile yandan yüklenen kurbanları canlandırdı.
Bu aşama, kullanıcıların ve analistlerin dikkatini dağıtmak için sahte telif hakkı bildirimleri içeren Tax-Invoice-Eev.Docx gibi iyi huylu tuzak belgelerini açarken, yeniden adlandırılan Winrar Tools (örneğin, Images.png) aracılığıyla şifrelenmiş zip arşivlerini kodlar ve çıkarır.
Süreç, verileri numaralandırmak ve pessatrate etmek için bot_id bağımsız değişkenleri ile gizlenmiş python komut dosyalarını çalıştırmadan önce genellikle kum havuzu zaman aşımına ve yanlış negatiflere neden olan yürütmeyi geciktirir.
Sofistike yük
PXA Stealer, Chrome, Edge ve Opera Varyantları gibi krom ve Gecko bazlı tarayıcılardan şifreleri, çerezleri, otomatik doldurma girişlerini ve jetonları çözen çok çeşitli hassas verileri hedefler.
Chrome’un uygulamaya bağlı şifreleme anahtarı gibi tarayıcı şifrelemesini atlamak için DLL’leri enjekte eder ve kripto para birimi cüzdanlarından (örn. Çıkış, atomik), VPN istemcileri, bulut yardımcı programlarından ve uyumsuzluk ve telgraf gibi uygulamalardan dosyaları hasat eder.
Binance, Coinbase ve PayPal dahil olmak üzere finansal platformlardan web sitesine özgü kimlik bilgileri, zip arşivlerine paketlenmiş verilerle önceliklendirilir (örn. [CC_IPADDRESS]_Hostname.zip) ve Cloudflare çalışanları aracılığıyla telgraf botlarına aktarıldı.
Anahtar altyapı, bot jeton 7414494371: aahsrqdkprevyz9z0roirs5fjki-ihkjpzq ve chat kimliği -1002698513801, mrb_new_bot gibi tanımlayıcılara bağlı varyantlar ve sık sık.
Rapora göre, atıf, Cisco Talos tarafından bildirilen önceki kampanyalarla bağları ile Paste.RS ve 0x0.ST kullanan operatörlere işaret ediyor.
Mağdur verileri, Ekim 2024’ten bu yana, bazı botlarda İsrail ve Tayvan gibi bölgeleri destekleyerek kampanyanın küresel erişimini ve otomasyona dayalı verimliliğin altını çizerek sürekli faaliyet gösteriyor.
Bu tırmanış, PXA gibi infosterers’ın kesintisiz para kazanma için telgraf ekosistemleriyle entegre oldukları, savunucuları tespitten kaçınmak için meşru araçları ve tuzakları harmanlayan Bizans dağıtım yöntemleriyle meydan okuduğu bir eğilimi vurgulamaktadır.
Bu tehditler Sherlock gibi hizmetler aracılığıyla yeniden satış otomatikleştirdiğinden, kuruluşlar bu tür esnek operasyonlara karşı koymak için davranışsal analiz ve altyapı izlemeye öncelik vermelidir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer | Not |
|---|---|---|
| SHA-1 Hash | 05a8e10251a29faf31d7da5b9adec4be90816238 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | 5b60e1b7458cef383c4598204bbaac5eacb7ee | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | 612F61B2084820A1FCD5516DC74A23C1B6EAA105 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | 61a0cb64ca1ba349550176ef0f874dd28eb0abfa | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | 6393b23bc20c2aaaaa71cb4e1597ed26de48f3e2 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | 65c11e7a61k10476ed4bfc501c27e2aea47e43a | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | 6B1902DDF85C43DE791E86F5319093C46311071 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | 70B0CE86ABBB02E27D9190D5A76BAE6A32DA7 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | 7C926A3E7C32DAAA6F513B688045723E6F14527 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | 7d53e588d83a61dd92bce2b2e479143279d80dcd | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | 7E505094F608CAFC9F174DB49FBB170FE6E8C585 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | AE8D0595724ACD66387A294465B245B4780EA264 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | B53ccd0fe75b8b36459196b66b64332f8e9e213 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | BFD04E6DA375E9CE55AD107AA96539F49899B85 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | C46613F2243C63620940CC0190A18E702375F7D7 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | C5407c07c0b4a1ce4b8272003d5eab8cdb809bc | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | C9CABA0381624DEC31B2E99F9D7F431B17B94A32 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | Ca6912da0dc4727ae03b8d8a5599267dfc43ee9 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | D0B137E48A09354296221EF40DC3D8D99398007 | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | D1a5dff51e888325def8222fdd7a1bd613602bef | Birinci aşama damlalık (arşiv) |
| SHA-1 Hash | Dcore971525c2cdba9780ec49cc5d26ac3a1f27 | Birinci aşama damlalık (arşiv) |
| İhtisas | macun[.]Rs | Kod barındırma sitesi |
| Url | hxxps: // macun[.]RS/PLK1Y | – |
| Url | hxxps: // macun[.]RS/5DJ0P | – |
| Url | hxxps: // macun[.]RS/OACZJ | – |
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!