Cisco Talos обнаружила кампанию злоумышленника, говорящего на вьетнамском языке, направленную на правительственные и образовательные организации в Европе и Азии с помощью программы на языке Python под названием PXA Stealer. Эта вредоносная программа использует широкий спектр конфиденциальных данных, включая учетные данные различных онлайн-аккаунтов, VPN- и FTP-клиентов, финансовую информацию, файлы cookie браузера и данные игрового программного обеспечения.
PXA Stealer
PXA Stealer может расшифровывать мастер-пароли браузеров для кражи сохраненных учетных данных и взаимодействует с Facebook Ads Manager и Graph API для сбора данных рекламных аккаунтов Facebook. Злоумышленник применяет сложную технику обфускации и использует Telegram-бота для утечки данных. Цепочка заражения начинается с фишингового письма, содержащего ZIP-файл с вредоносным исполняемым файлом-загрузчиком и обфусцированными пакетными скриптами. После выполнения эти скрипты загружают дополнительную полезную нагрузку, отключают антивирусные программы и устанавливают постоянство через ключи реестра и скрипты папки запуска. PXA Stealer уничтожает процессы, связанные с защитным программным обеспечением, и извлекает разнообразную информацию, включая данные для входа в браузер, файлы cookie, информацию о кредитных картах и данные форм автозаполнения. Кроме того, он извлекает и проверяет токены Discord и похищает информацию о пользователях из базы данных приложения MinSoftware.
После сбора целевых данных PXA Stealer компилирует их в ZIP-архив с кодом страны, публичным IP и именем компьютера жертвы и отправляет его на Telegram-бота злоумышленника. Затем вредоносная программа удаляет папки с собранными пользовательскими данными, чтобы замести следы. Инфраструктура злоумышленника включает в себя размещение вредоносных скриптов на домене, связанном с вьетнамским SEO-провайдером, и продвижение подпольной деятельности, такой как продажа аккаунтов, учетных данных и данных об отмывании денег в каналах Telegram.
Indicators of Compromise
Domains
- tvdseo.com
URLs
- https://tvdseo.com/file/Adonis/AdFnis_Bot
- https://tvdseo.com/file/Adonis/Adonis_Bot
- https://tvdseo.com/file/Adonis/Adonis_Bot0
- https://tvdseo.com/file/Adonis/Adonis_XW_ENC
- https://tvdseo.com/file/PXA/Cookie_Ext.zip
- https://tvdseo.com/file/PXA/PXA_BOT
- https://tvdseo.com/file/PXA/PXA_PURE_ENC
- https://tvdseo.com/file/STC/Cookie_Ext.zip
- https://tvdseo.com/file/STC/STC_BOT
- https://tvdseo.com/file/STC/STC_OTO
- https://tvdseo.com/file/STC/STC_PUP
- https://tvdseo.com/file/STC/STC_PURE.b64
- https://tvdseo.com/file/STC/STC_PURE_ENC
- https://tvdseo.com/file/STC/STC_XW_ENC
- https://tvdseo.com/file/synaptics.zip
SHA256
- 707004559c8d625f2d4b296ede702def1f9f52cadf4c52dadc41f3077531d04f
- 782da8904a729971fab86286dd1f44e8de686b7bc66b855079381e1c9e97f6da
- 7db49da15fd159146fe869d049e030a4ecd0d605a762bea4cc4eb702a6ce9ee6
- a9e3f6b9047b5320434bc7b64f4ba6c799d2b6919d41ed32e9815742f3c10194
- bc15114841e39203b4e0f5d2cdeef11cc4eceba99eb0c3074a1c6d7b3968404a
- e689601d502cc0cd8017f9d6953ce7e201b2dad42f679dc33afa673249ea1aa4
- fdad95329954e0085d992cba78188a26abd718797f4a83347ec402f70fe65269
