S'inscrire

Cybersécurité - 15/11/2024

Un groupe de hackers vietnamiens déploie un nouveau Stealer de PXA ciblant l’Europe et l’Asie

Hacker utilisant un outil de cybersécurité

Un acteur malveillant parlant vietnamien a été lié à une campagne de vol d’informations ciblant les entités gouvernementales et éducatives en Europe et en Asie avec un nouveau malware basé sur Python appelé PXA Stealer .

Le malware « cible les informations sensibles des victimes, notamment les identifiants de divers comptes en ligne, les clients VPN et FTP, les informations financières, les cookies du navigateur et les données des logiciels de jeu », ont déclaré les chercheurs de Cisco Talos Joey Chen, Alex Karkins et Chetan Raghuprasad .

« PXA Stealer a la capacité de décrypter le mot de passe principal du navigateur de la victime et l’utilise pour voler les informations d’identification stockées de divers comptes en ligne »

Les liens avec le Vietnam proviennent de la présence de commentaires vietnamiens et d’un compte Telegram codé en dur nommé « Lone None » dans le programme de vol, ce dernier incluant une icône du drapeau national du Vietnam et une image de l’emblème du ministère de la Sécurité publique du Vietnam.

Cisco Talos a déclaré avoir observé l’attaquant vendre des identifiants de compte Facebook et Zalo, ainsi que des cartes SIM sur le canal Telegram « Mua Bán Scan MINI », qui a déjà été lié à un autre acteur malveillant appelé CoralRaider . Lone None a également été trouvé actif sur un autre groupe Telegram vietnamien exploité par CoralRaider appelé « Cú Black Ads – Dropship ».

Cela dit, il n’est pas encore clair si ces deux groupes d’intrusion sont liés, s’ils mènent leurs campagnes indépendamment l’un de l’autre.

Voleur PXA />

« Les outils partagés par l’attaquant au sein du groupe sont des utilitaires automatisés conçus pour gérer plusieurs comptes utilisateurs. Ces outils comprennent un outil de création de lots Hotmail, un outil d’exploration de courrier électronique et un outil de modification de lots de cookies Hotmail », ont indiqué les chercheurs.

« Les packages compressés fournis par l’acteur malveillant contiennent souvent non seulement les fichiers exécutables de ces outils, mais également leur code source, permettant aux utilisateurs de les modifier selon leurs besoins. »

Il existe des preuves suggérant que de tels programmes sont proposés à la vente sur d’autres sites comme aehack[.]com qui prétendent fournir des outils de piratage et de triche gratuits. Des tutoriels d’utilisation de ces outils sont partagés via des chaînes YouTube , ce qui souligne encore davantage qu’il existe un effort concerté pour les commercialiser.

Les chaînes d’attaque propageant PXA Stealer commencent par un e-mail de phishing contenant une pièce jointe de fichier ZIP, qui comprend un chargeur basé sur Rust et un dossier caché qui, à son tour, contient plusieurs scripts batch Windows et un fichier PDF leurre.

L’exécution du chargeur déclenche les scripts batch, qui sont responsables de l’ouverture du document leurre, un formulaire de demande d’emploi Glassdoor, tout en exécutant des commandes PowerShell pour télécharger et exécuter une charge utile capable de désactiver les programmes antivirus exécutés sur l’hôte, suivi du déploiement du voleur lui-même.

Une caractéristique remarquable de PXA Stealer est l’accent mis sur le vol de cookies Facebook, leur utilisation pour authentifier une session et l’interaction avec Facebook Ads Manager et Graph API pour recueillir plus de détails sur le compte et les informations publicitaires associées.

Le ciblage des comptes commerciaux et publicitaires Facebook est un modèle récurrent parmi les acteurs malveillants vietnamiens, et PXA Stealer ne fait pas exception.

Cette révélation intervient alors qu’IBM X-Force a détaillé une campagne en cours depuis la mi-avril 2023 qui livre StrelaStealer à des victimes dans toute l’Europe, notamment en Italie, en Espagne, en Allemagne et en Ukraine. L’activité a été attribuée à un courtier d’accès initial (IAB) « à maturation rapide » qu’il suit sous le nom de Hive0145, qui serait le seul opérateur du malware voleur.

Voleur PXA />

« Les e-mails de phishing utilisés dans ces campagnes sont de véritables notifications de factures, qui ont été volées grâce à des identifiants de messagerie précédemment exfiltrés », ont déclaré les chercheurs Golo Mühr, Joe Fasulo et Charlotte Hammond . « StrelaStealer est conçu pour extraire les identifiants d’utilisateur stockés dans Microsoft Outlook et Mozilla Thunderbird. »

La popularité des logiciels malveillants voleurs est démontrée par l’évolution continue des familles existantes comme RECORDSTEALER (alias RecordBreaker ou Raccoon Stealer V2) et Rhadamanthys , et l’émergence constante de nouvelles familles comme Amnesia Stealer et Glove Stealer, malgré les efforts des forces de l’ordre pour les perturber.

« Glove Stealer utilise un module de support dédié pour contourner le chiffrement lié à l’application en utilisant le service IElevator », a déclaré Jan Rubín, chercheur chez Gen Digital . « Bien qu’il soit observé comme se propageant via des e-mails de phishing ressemblant à ClickFix , il essaie également d’imiter un outil de réparation que les utilisateurs pourraient utiliser lors de la résolution de problèmes qu’ils pourraient avoir rencontrés. »

Sujets récents