Ένας κακόβουλος παράγοντας από το Βιετνάμ, έχει συνδεθεί με μια εκστρατεία κλοπής πληροφοριών που στοχεύει κυβερνητικούς και εκπαιδευτικούς φορείς στην Ευρώπη και την Ασία με ένα νέο κακόβουλο λογισμικό που βασίζεται στην Python και ονομάζεται PXA Stealer.
Δείτε επίσης: Η αστυνομία κατάσχεσε την επιχείρηση infostealer Redline και Meta

Το κακόβουλο λογισμικό «στοχεύει ευαίσθητες πληροφορίες των θυμάτων, συμπεριλαμβανομένων διαπιστευτηρίων για διάφορους διαδικτυακούς λογαριασμούς, πελάτες VPN και FTP, οικονομικές πληροφορίες, cookie προγράμματος περιήγησης και δεδομένα από λογισμικό παιχνιδιών», δήλωσαν οι ερευνητές της Cisco Talos, Joey Chen, Alex Karkins και Chetan Raghuprasad.
Οι συνδέσεις με το Βιετνάμ προέρχονται από την παρουσία βιετναμέζικων σχολίων και ενός κωδικοποιημένου λογαριασμού Telegram με το όνομα “Lone None” στο πρόγραμμα κλοπής, το τελευταίο από το οποίο περιλαμβάνει ένα εικονίδιο της εθνικής σημαίας του Βιετνάμ και μια εικόνα του εμβλήματος του Υπουργείου Δημόσιας Ασφάλειας του Βιετνάμ.
Η Cisco Talos είπε ότι παρατήρησε ότι ο εισβολέας πουλούσε διαπιστευτήρια λογαριασμών Facebook και Zalo, καθώς και κάρτες SIM στο κανάλι Telegram “Mua Bán Scan MINI“, το οποίο είχε προηγουμένως συνδεθεί με έναν άλλο παράγοντα απειλής που ονομάζεται CoralRaider. Το Lone None βρέθηκε επίσης να είναι ενεργό σε μια άλλη βιετναμέζικη ομάδα Telegram που λειτουργεί από την CoralRaider που ονομάζεται “Cú Black Ads – Dropship“.
Τούτου λεχθέντος, επί του παρόντος δεν είναι σαφές εάν αυτά τα δύο σύνολα εισβολής σχετίζονται, ή εάν πραγματοποιούν τις καμπάνιες τους ανεξάρτητα το ένα από το άλλο.
Δείτε ακόμα: Το νέο Glove infostealer παρακάμπτει την κρυπτογράφηση cookies του Chrome
Υπάρχουν στοιχεία που υποδηλώνουν ότι τέτοια προγράμματα προσφέρονται προς πώληση μέσω άλλων ιστότοπων όπως το aehack[.]com που ισχυρίζονται ότι παρέχουν δωρεάν εργαλεία hack και cheat. Τα σεμινάρια για τη χρήση αυτών των εργαλείων κοινοποιούνται μέσω καναλιών YouTube, υπογραμμίζοντας περαιτέρω ότι υπάρχει μια συντονισμένη προσπάθεια για την εμπορία τους.

Οι αλυσίδες επιθέσεων που διαδίδουν το PXA Stealer ξεκινούν με ένα ηλεκτρονικό μήνυμα ηλεκτρονικού phishing που περιέχει ένα συνημμένο αρχείο ZIP, το οποίο περιλαμβάνει έναν φορτωτή βασισμένο σε Rust και έναν κρυφό φάκελο που, με τη σειρά του, συσκευάζει πολλά σενάρια παρτίδας των Windows και ένα αρχείο PDF decoy.
Η εκτέλεση του προγράμματος φόρτωσης ενεργοποιεί τα σενάρια δέσμης, τα οποία είναι υπεύθυνα για το άνοιγμα του εγγράφου lure, μιας φόρμας αίτησης εργασίας Glassdoor, ενώ εκτελούνται επίσης εντολές PowerShell για λήψη και εκτέλεση ενός ωφέλιμου φορτίου που μπορεί να απενεργοποιήσει τα προγράμματα προστασίας από ιούς που εκτελούνται στον κεντρικό υπολογιστή, ακολουθούμενη από την ανάπτυξη του ίδιου του infostealer.
Ένα αξιοσημείωτο χαρακτηριστικό του PXA Stealer είναι η έμφαση που δίνει στην κλοπή cookie του Facebook, τη χρήση τους για τον έλεγχο ταυτότητας περιόδου σύνδεσης και την αλληλεπίδραση με το Facebook Ads Manager και το Graph API για τη συλλογή περισσότερων λεπτομερειών σχετικά με τον λογαριασμό και τις σχετικές πληροφορίες που σχετίζονται με τις διαφημίσεις.
Η στόχευση επιχειρηματικών και διαφημιστικών λογαριασμών στο Facebook ήταν ένα επαναλαμβανόμενο μοτίβο μεταξύ των βιετναμέζων παραγόντων απειλών και το PXA Stealer αποδεικνύεται ότι δεν διαφέρει.
Δείτε επίσης: Hive0145 hackers: Phishing επιθέσεις διανέμουν το Strela Stealer στην Ευρώπη
Τον τελευταίο καιρό, οι εκστρατείες κλοπής πληροφοριών έχουν γίνει μια σημαντική απειλή για την ασφάλεια στον κυβερνοχώρο. Αυτές οι καμπάνιες συνήθως ενορχηστρώνονται από εγκληματίες του κυβερνοχώρου που επιδιώκουν να αποκτήσουν παράνομα ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης, στοιχεία πιστωτικής κάρτας και δεδομένα προσωπικής ταυτοποίησης. Οι συνήθεις μέθοδοι που χρησιμοποιούνται σε τέτοιες καμπάνιες περιλαμβάνουν επιθέσεις phishing, διανομή κακόβουλου λογισμικού και εκμετάλλευση τρωτών σημείων του συστήματος. Οργανισμοί και ιδιώτες μπορούν να προστατευτούν χρησιμοποιώντας ισχυρά μέτρα ασφαλείας, όπως έλεγχο ταυτότητας πολλαπλών παραγόντων, τακτικές ενημερώσεις συστήματος και εκπαίδευση ευαισθητοποίησης για την αναγνώριση ύποπτων δραστηριοτήτων. Καθώς η τεχνολογία εξελίσσεται, το ίδιο συμβαίνει και με τις τακτικές των εγκληματιών στον κυβερνοχώρο, καθιστώντας απαραίτητο για όλους να παραμένουν ενημερωμένοι και σε επαγρύπνηση.
Πηγή: thehackernews