Een Vietnamees sprekende bedreigingsacteur is in verband gebracht met een informatiestelende campagne gericht op overheden en onderwijsinstellingen in Europa en Azië met een nieuwe op Python gebaseerde malware genaamd PXA-stealer.
De malware “richt zich op de gevoelige informatie van slachtoffers, waaronder inloggegevens voor verschillende online accounts, VPN- en FTP-clients, financiële informatie, browsercookies en gegevens uit gamingsoftware”, aldus Cisco Talos-onderzoekers Joey Chen, Alex Karkins en Chetan Raghuprasad.
“PXA Stealer heeft de mogelijkheid om het hoofdwachtwoord van de browser van het slachtoffer te ontsleutelen en gebruikt dit om de opgeslagen inloggegevens van verschillende online accounts te stelen”
De connecties met Vietnam komen voort uit de aanwezigheid van Vietnamese commentaren en een hardgecodeerd Telegram-account met de naam ‘Lone None’ in het stealer-programma, waarvan het laatste een icoon van de nationale vlag van Vietnam bevat en een afbeelding van het embleem van het Vietnamese Ministerie van Openbare Zaken. Beveiliging.
Cisco Talos zei dat het zag hoe de aanvaller Facebook- en Zalo-accountgegevens en simkaarten verkocht in het Telegram-kanaal “Mua Bán Scan MINI”, dat eerder in verband werd gebracht met een andere dreigingsactoren genaamd CoralRaider. Lone None blijkt ook actief te zijn in een andere Vietnamese Telegram-groep, beheerd door CoralRaider, genaamd “Cú Black Ads – Dropship”.
Dat gezegd hebbende, is het momenteel niet duidelijk of deze twee inbraaksets met elkaar verband houden en of ze hun campagnes onafhankelijk van elkaar uitvoeren.
“De tools die door de aanvaller in de groep worden gedeeld, zijn geautomatiseerde hulpprogramma’s die zijn ontworpen om verschillende gebruikersaccounts te beheren. Deze tools omvatten een Hotmail-tool voor het maken van batches, een tool voor het minen van e-mail en een tool voor het wijzigen van Hotmail-cookies”, aldus de onderzoekers.
“De gecomprimeerde pakketten die door de bedreigingsacteur worden geleverd, bevatten vaak niet alleen de uitvoerbare bestanden voor deze tools, maar ook hun broncode, waardoor gebruikers deze indien nodig kunnen aanpassen.”
Er zijn aanwijzingen dat dergelijke programma’s te koop worden aangeboden via andere sites zoals aehack(.)com, die beweren gratis hack- en cheattools te bieden. Tutorials voor het gebruik van deze tools worden gedeeld via YouTube-kanalen, wat verder benadrukt dat er een gezamenlijke inspanning is om ze op de markt te brengen.
Aanvalsketens die PXA Stealer verspreiden, beginnen met een phishing-e-mail met een ZIP-bestandsbijlage, die een op Rust gebaseerde lader en een verborgen map bevat die op zijn beurt verschillende Windows-batchscripts en een lok-PDF-bestand bevat.
De uitvoering van de lader activeert de batchscripts, die verantwoordelijk zijn voor het openen van het lokdocument, een Glassdoor-sollicitatieformulier, terwijl ook PowerShell-opdrachten worden uitgevoerd om een payload te downloaden en uit te voeren die antivirusprogramma’s die op de host worden uitgevoerd, kan uitschakelen, gevolgd door het implementeren van de dief zelf.
Een opmerkelijk kenmerk van PXA Stealer is de nadruk op het stelen van Facebook-cookies, het gebruik ervan om een sessie te authenticeren en de interactie met Facebook Ads Manager en Graph API om meer details te verzamelen over het account en de bijbehorende advertentiegerelateerde informatie.
Het targeten van Facebook-bedrijfs- en advertentieaccounts is een terugkerend patroon onder Vietnamese dreigingsactoren, en PXA Stealer blijkt niet anders te zijn.
De onthulling komt op het moment dat IBM X-Force sinds medio april 2023 een lopende campagne heeft beschreven die StrelaStealer levert aan slachtoffers in heel Europa, met name Italië, Spanje, Duitsland en Oekraïne. De activiteit wordt toegeschreven aan een “snel volwassen wordende” Initial Access Broker (IAB) die wordt gevolgd als Hive0145, waarvan wordt aangenomen dat deze de enige exploitant is van de stealer-malware.
“De phishing-e-mails die in deze campagnes worden gebruikt, zijn echte factuurmeldingen, die zijn gestolen via eerder geëxfiltreerde e-mailgegevens”, aldus onderzoekers Golo Mühr, Joe Fasulo en Charlotte Hammond. “StrelaStealer is ontworpen om gebruikersgegevens te extraheren die zijn opgeslagen in Microsoft Outlook en Mozilla Thunderbird.”
De populariteit van stealer-malware blijkt uit de voortdurende evolutie van bestaande families zoals RECORDSTEALER (ook bekend als RecordBreaker of Raccoon Stealer V2) en Rhadamanthys, en de gestage opkomst van nieuwe zoals Amnesia Stealer en Glove Stealer, ondanks inspanningen van de wetshandhaving om deze te ontwrichten.
“Glove Stealer gebruikt een speciale ondersteunende module om app-gebonden encryptie te omzeilen door gebruik te maken van de IElevator-service”, aldus Gen Digital-onderzoeker Jan Rubín. “Hoewel het wordt verspreid via phishing-e-mails die lijken op ClickFix, probeert het zelf ook een reparatietool na te bootsen die gebruikers kunnen gebruiken bij het oplossen van problemen die ze mogelijk zijn tegengekomen.”