Вьетнамских хакеров обвинили в распространении вируса PXA Stealer в Европе и Азии

Вьетнамских хакеров обвинили в распространении вируса PXA Stealer в Европе и Азии

изображение: erika m (unsplash)

Вьетнамоязычных хакеров обвинили в организации крупномасштабной кибероперации, направленной на кражу конфиденциальных данных с скомпрометированных устройств. Атаки, по словам экспертов, нацелены преимущественно на образовательные учреждения Азии и Европы. Для атак применяется новая вредоносная программа на основе Python под названием PXA Stealer.

По словам аналитиков компании Cisco Talos, вредоносное ПО PXA Stealer «нацелено на конфиденциальную информацию жертв, учётные данные различных онлайн-аккаунтов, клиентов VPN и FTP, финансовую информацию, файлы cookie браузера и данные игрового ПО».

При этом уточняется, что PXA Stealer имеет возможность расшифровать главный пароль браузера жертвы и использовать его для кражи сохранённых учётных данных различных онлайн-аккаунтов.

О том, что за атаками стоят вьетнамские хакеры, говорит наличие в программе-воре вьетнамских комментариев и жёстко запрограммированной учётной записи Telegram под названием Lone None. Эта учётная запись имеет значок национального флага Вьетнама и изображение эмблемы Министерства общественной безопасности Вьетнама.

В Cisco Talos заявили, что наблюдали, как хакеры группы продавали украденные учётные данные, а также SIM-карты в канале Telegram «Mua Bán Scan MINI», который ранее был связан с другой хакерской группой под названием CoralRaider. Lone None также был активен в другой вьетнамской группе Telegram, управляемой CoralRaider, под названием «Cú Black Ads — Dropship».

Эксперты рассказали, что цепочки атак, распространяющих вирус PXA Stealer, начинаются с фишингового письма, содержащего вложение в виде ZIP-файла. Это вложение включает загрузчик на основе Rust и скрытую папку, которая, в свою очередь, содержит несколько пакетных скриптов Windows и поддельный PDF-файл.

Выполнение загрузчика запускает пакетные скрипты, отвечающие за открытие документа-приманки, формы заявления на работу Glassdoor, а также команды PowerShell для загрузки и запуска полезной нагрузки. Она способна отключать антивирусные программы, работающие на хосте, с последующим развертыванием самого похитителя.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: