Vietnamca konuşan bir tehdit aktörü, Avrupa ve Asya’daki hükümet ve eğitim kuruluşlarını hedef alan bir bilgi çalma kampanyasıyla, Python tabanlı yeni bir kötü amaçlı yazılımla ilişkilendirildi. PXA Hırsızı.
Cisco Talos araştırmacıları Joey Chen, Alex Karkins ve Chetan Raghuprasad, kötü amaçlı yazılımın “çeşitli çevrimiçi hesaplara ait kimlik bilgileri, VPN ve FTP istemcileri, finansal bilgiler, tarayıcı çerezleri ve oyun yazılımı verileri dahil olmak üzere kurbanların hassas bilgilerini hedef aldığını” söyledi.
“PXA Stealer, kurbanın tarayıcı ana parolasının şifresini çözme yeteneğine sahip ve bunu çeşitli çevrimiçi hesapların depolanan kimlik bilgilerini çalmak için kullanıyor”
Vietnam’la bağlantılar, Vietnamca yorumların varlığından ve hırsız programında “Yalnız Hiçbiri” adlı sabit kodlu bir Telegram hesabından kaynaklanıyor; bu hesapta Vietnam’ın ulusal bayrağının bir simgesi ve Vietnam Kamu Bakanlığı ambleminin bir resmi yer alıyor. Güvenlik.
Cisco Talos, saldırganın daha önce CoralRaider adlı başka bir tehdit aktörüyle bağlantılı olan Telegram kanalı “Mua Bán Scan MINI”de Facebook ve Zalo hesap kimlik bilgilerini ve SIM kartlarını sattığını gözlemlediğini söyledi. Lone Yok’un ayrıca CoralRaider tarafından işletilen “Cú Black Ads – Dropship” adlı başka bir Vietnam Telegram grubunda da aktif olduğu tespit edildi.
Bununla birlikte, bu iki izinsiz giriş grubunun ilişkili olup olmadığı ve kampanyalarını birbirlerinden bağımsız olarak yürütüp yürütmedikleri henüz belli değil.
Araştırmacılar, “Saldırganın grupta paylaştığı araçlar, birden fazla kullanıcı hesabını yönetmek için tasarlanmış otomatik araçlardır. Bu araçlar arasında bir Hotmail toplu oluşturma aracı, bir e-posta madenciliği aracı ve bir Hotmail çerez toplu değiştirme aracı yer alır” dedi.
“Tehdit aktörü tarafından sağlanan sıkıştırılmış paketler genellikle yalnızca bu araçların çalıştırılabilir dosyalarını değil, aynı zamanda kaynak kodlarını da içeriyor ve kullanıcıların bunları gerektiği gibi değiştirmesine olanak tanıyor.”
Bu tür programların aehack gibi başka siteler aracılığıyla satışa sunulduğunu gösteren kanıtlar var[.]com, ücretsiz hack ve hile araçları sağladığını iddia ediyor. Bu araçların kullanımına ilişkin eğitimler YouTube kanalları aracılığıyla paylaşılıyor ve bu da bunların pazarlanması konusunda ortak bir çabanın olduğunun altını çiziyor.
PXA Stealer’ı yayan saldırı zincirleri, Rust tabanlı bir yükleyici ve çeşitli Windows toplu komut dosyalarını ve sahte bir PDF dosyasını paketleyen gizli bir klasörü içeren bir ZIP dosyası eki içeren bir kimlik avı e-postasıyla başlar.
Yükleyicinin yürütülmesi, bir Glassdoor iş başvuru formu olan yem belgesini açmaktan sorumlu olan toplu komut dosyalarını tetikler ve aynı zamanda ana bilgisayarda çalışan antivirüs programlarını devre dışı bırakabilecek bir yükü indirip çalıştırmak için PowerShell komutlarını çalıştırır ve ardından hırsızın kendisi.
PXA Stealer’ın dikkate değer bir özelliği, Facebook çerezlerini çalmaya, bunları bir oturumu doğrulamak için kullanmaya ve hesap ve ilgili reklamla ilgili bilgiler hakkında daha fazla ayrıntı toplamak için Facebook Reklam Yöneticisi ve Grafik API ile etkileşime girmeye vurgu yapmasıdır.
Facebook işletme ve reklam hesaplarının hedeflenmesi Vietnamlı tehdit aktörleri arasında sürekli tekrarlanan bir model ve PXA Stealer’ın da farklı olmadığı ortaya çıktı.
Açıklama, IBM X-Force’un, StrelaStealer’ı başta İtalya, İspanya, Almanya ve Ukrayna olmak üzere Avrupa genelindeki kurbanlara ulaştıran, Nisan 2023’ün ortasından bu yana devam eden bir kampanyayı ayrıntılarıyla anlatması üzerine geldi. Faaliyet, hırsız kötü amaçlı yazılımın tek operatörü olduğuna inanılan Hive0145 olarak takip ettiği “hızla olgunlaşan” bir ilk erişim aracısına (IAB) atfedildi.
Araştırmacılar Golo Mühr, Joe Fasulo ve Charlotte Hammond, “Bu kampanyalarda kullanılan kimlik avı e-postaları, daha önce sızdırılan e-posta kimlik bilgileri aracılığıyla çalınan gerçek fatura bildirimleridir” dedi. “StrelaStealer, Microsoft Outlook ve Mozilla Thunderbird’de saklanan kullanıcı kimlik bilgilerini çıkarmak için tasarlanmıştır.”
Hırsızlık amaçlı kötü amaçlı yazılımların popülaritesi, RECORDSTEALER (diğer adıyla RecordBreaker veya Raccoon Stealer V2) ve Rhadamanthys gibi mevcut ailelerin sürekli gelişimi ve kolluk kuvvetlerinin onları engelleme çabalarına rağmen Amnesia Stealer ve Glove Stealer gibi yeni ailelerin istikrarlı bir şekilde ortaya çıkmasıyla kanıtlanmaktadır.
Gen Digital araştırmacısı Jan Rubín, “Glove Stealer, IElevator hizmetini kullanarak uygulamaya bağlı şifrelemeyi atlamak için özel bir destek modülü kullanıyor” dedi. “ClickFix’e benzeyen kimlik avı e-postaları aracılığıyla yayıldığı gözlemlenirken, kendisi de kullanıcıların karşılaşabilecekleri sorunları giderirken kullanabilecekleri bir düzeltme aracını taklit etmeye çalışıyor.”