PXA Stealer, Telegram Hasatları ile Dağıtılan 200K Şifreler ve Kredi Kartı Verileri


Sentinellabs ve Beazley Security, 2024’ün sonlarından beri gelişmiş anti-anti-anti-anti-anti-anti-anti-anti-anti-analizler, tuzak içeriği ve sertleşmiş komut ve kontrol (C2) altyapısını dahil etmek için hızla gelişen Python tabanlı PXA Stealer’ı konuşlandıran sofistike bir Infostealer kampanyasını ortaya çıkardı.

Vietnamca konuşan siber suçlu ağlarla bağlantılı olan bu operasyon, Telegram’ın otomatik veri açığa çıkması ve para kazanma için API’sinden yararlanır ve yeniden satış için Sherlock gibi yeraltı pazarlarına beslenir.

Pefiltrated günlüklerin analizi, Güney Kore, ABD, Hollanda, Macaristan ve Avusturya’da ağır konsantrasyonlarla en az 62 ülkede 4.000’den fazla benzersiz kurban IP adresi ortaya koymaktadır.

PXA Stealer
Maliken olmayan tuzak belgesinin ekran görüntüsü

Çalınan Trove, 200.000’den fazla benzersiz şifre, yüzlerce kredi kartı kaydı ve 4 milyondan fazla tarayıcı çerezi içerir ve tehdit aktörlerine mağdurların hesaplarına, finansal verilerine ve kripto para birimi varlıklarına kapsamlı erişim sağlar.

Telegram, Cloudflare çalışanları ve Dropbox gibi meşru platformları silahlandırarak, kampanya operasyonel yükü en aza indirirken, gerçek zamanlı veri hasatını ve hesap devralmaları ve kripto hırsızlığı gibi aşağı yönlü suç faaliyetlerini sağlıyor.

Küresel kurbanları hedefler

Tehdit aktörleri, taktiklerini 2025 yılı boyunca geliştirerek, ilk Windows yürütülebilir yüklerden daha kaçan Python tabanlı varyantlara kaydırdılar.

Nisan 2025’teki erken dalgalar, Windows kayıt defteri anahtarları aracılığıyla kalıcılık oluşturan ve Dropbox’tan ek bileşenler getiren kötü niyetli DLL’ler aracılığıyla imzalanmış Haihaisoft PDF okuyucu yürütülebilir dosyalarla sıkıştırılmış arşivler sunan kimlik avı içeriyordu.

PXA Stealer
Çok aşamalı zincir

Bu zincirler, malformlanmış PDF’ler olarak gizlenmiş gömülü RAR arşivlerini çözmek için sertifika kullandı, ardından çalma için yeniden adlandırılan Python 3.10 tercümanı (SVCHOST.EXE) dahil olmak üzere Python bağımlılıklarının Winrar ekstraksiyonu.

Temmuz ayına kadar, enfeksiyon zinciri olgunlaştı ve Microsoft Word 2013 ikili dosyalarını, gizli komut istemlerini başlatmak için msvcr100.dll ile yandan yüklenen kurbanları canlandırdı.

Bu aşama, kullanıcıların ve analistlerin dikkatini dağıtmak için sahte telif hakkı bildirimleri içeren Tax-Invoice-Eev.Docx gibi iyi huylu tuzak belgelerini açarken, yeniden adlandırılan Winrar Tools (örneğin, Images.png) aracılığıyla şifrelenmiş zip arşivlerini kodlar ve çıkarır.

Süreç, verileri numaralandırmak ve pessatrate etmek için bot_id bağımsız değişkenleri ile gizlenmiş python komut dosyalarını çalıştırmadan önce genellikle kum havuzu zaman aşımına ve yanlış negatiflere neden olan yürütmeyi geciktirir.

Sofistike yük

PXA Stealer, Chrome, Edge ve Opera Varyantları gibi krom ve Gecko bazlı tarayıcılardan şifreleri, çerezleri, otomatik doldurma girişlerini ve jetonları çözen çok çeşitli hassas verileri hedefler.

Chrome’un uygulamaya bağlı şifreleme anahtarı gibi tarayıcı şifrelemesini atlamak için DLL’leri enjekte eder ve kripto para birimi cüzdanlarından (örn. Çıkış, atomik), VPN istemcileri, bulut yardımcı programlarından ve uyumsuzluk ve telgraf gibi uygulamalardan dosyaları hasat eder.

Binance, Coinbase ve PayPal dahil olmak üzere finansal platformlardan web sitesine özgü kimlik bilgileri, zip arşivlerine paketlenmiş verilerle önceliklendirilir (örn. [CC_IPADDRESS]_Hostname.zip) ve Cloudflare çalışanları aracılığıyla telgraf botlarına aktarıldı.

Anahtar altyapı, bot jeton 7414494371: aahsrqdkprevyz9z0roirs5fjki-ihkjpzq ve chat kimliği -1002698513801, mrb_new_bot gibi tanımlayıcılara bağlı varyantlar ve sık sık.

Rapora göre, atıf, Cisco Talos tarafından bildirilen önceki kampanyalarla bağları ile Paste.RS ve 0x0.ST kullanan operatörlere işaret ediyor.

Mağdur verileri, Ekim 2024’ten bu yana, bazı botlarda İsrail ve Tayvan gibi bölgeleri destekleyerek kampanyanın küresel erişimini ve otomasyona dayalı verimliliğin altını çizerek sürekli faaliyet gösteriyor.

Bu tırmanış, PXA gibi infosterers’ın kesintisiz para kazanma için telgraf ekosistemleriyle entegre oldukları, savunucuları tespitten kaçınmak için meşru araçları ve tuzakları harmanlayan Bizans dağıtım yöntemleriyle meydan okuduğu bir eğilimi vurgulamaktadır.

Bu tehditler Sherlock gibi hizmetler aracılığıyla yeniden satış otomatikleştirdiğinden, kuruluşlar bu tür esnek operasyonlara karşı koymak için davranışsal analiz ve altyapı izlemeye öncelik vermelidir.

Uzlaşma Göstergeleri (IOCS)

Tip Değer Not
SHA-1 Hash 05a8e10251a29faf31d7da5b9adec4be90816238 Birinci aşama damlalık (arşiv)
SHA-1 Hash 5b60e1b7458cef383c4598204bbaac5eacb7ee Birinci aşama damlalık (arşiv)
SHA-1 Hash 612F61B2084820A1FCD5516DC74A23C1B6EAA105 Birinci aşama damlalık (arşiv)
SHA-1 Hash 61a0cb64ca1ba349550176ef0f874dd28eb0abfa Birinci aşama damlalık (arşiv)
SHA-1 Hash 6393b23bc20c2aaaaa71cb4e1597ed26de48f3e2 Birinci aşama damlalık (arşiv)
SHA-1 Hash 65c11e7a61k10476ed4bfc501c27e2aea47e43a Birinci aşama damlalık (arşiv)
SHA-1 Hash 6B1902DDF85C43DE791E86F5319093C46311071 Birinci aşama damlalık (arşiv)
SHA-1 Hash 70B0CE86ABBB02E27D9190D5A76BAE6A32DA7 Birinci aşama damlalık (arşiv)
SHA-1 Hash 7C926A3E7C32DAAA6F513B688045723E6F14527 Birinci aşama damlalık (arşiv)
SHA-1 Hash 7d53e588d83a61dd92bce2b2e479143279d80dcd Birinci aşama damlalık (arşiv)
SHA-1 Hash 7E505094F608CAFC9F174DB49FBB170FE6E8C585 Birinci aşama damlalık (arşiv)
SHA-1 Hash AE8D0595724ACD66387A294465B245B4780EA264 Birinci aşama damlalık (arşiv)
SHA-1 Hash B53ccd0fe75b8b36459196b66b64332f8e9e213 Birinci aşama damlalık (arşiv)
SHA-1 Hash BFD04E6DA375E9CE55AD107AA96539F49899B85 Birinci aşama damlalık (arşiv)
SHA-1 Hash C46613F2243C63620940CC0190A18E702375F7D7 Birinci aşama damlalık (arşiv)
SHA-1 Hash C5407c07c0b4a1ce4b8272003d5eab8cdb809bc Birinci aşama damlalık (arşiv)
SHA-1 Hash C9CABA0381624DEC31B2E99F9D7F431B17B94A32 Birinci aşama damlalık (arşiv)
SHA-1 Hash Ca6912da0dc4727ae03b8d8a5599267dfc43ee9 Birinci aşama damlalık (arşiv)
SHA-1 Hash D0B137E48A09354296221EF40DC3D8D99398007 Birinci aşama damlalık (arşiv)
SHA-1 Hash D1a5dff51e888325def8222fdd7a1bd613602bef Birinci aşama damlalık (arşiv)
SHA-1 Hash Dcore971525c2cdba9780ec49cc5d26ac3a1f27 Birinci aşama damlalık (arşiv)
İhtisas macun[.]Rs Kod barındırma sitesi
Url hxxps: // macun[.]RS/PLK1Y
Url hxxps: // macun[.]RS/5DJ0P
Url hxxps: // macun[.]RS/OACZJ

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!



Source link