Aktor ancaman berbahasa Vietnam telah dikaitkan dengan kampanye pencurian informasi yang menargetkan entitas pemerintah dan pendidikan di Eropa dan Asia dengan malware baru berbasis Python yang disebut Pencuri PXA.
Malware tersebut “menargetkan informasi sensitif korban, termasuk kredensial untuk berbagai akun online, klien VPN dan FTP, informasi keuangan, cookie browser, dan data dari perangkat lunak game,” kata peneliti Cisco Talos Joey Chen, Alex Karkins, dan Chetan Raghuprasad.
“PXA Stealer memiliki kemampuan untuk mendekripsi kata sandi utama browser korban dan menggunakannya untuk mencuri kredensial yang tersimpan di berbagai akun online”
Kaitannya dengan Vietnam berasal dari adanya komentar-komentar orang Vietnam dan akun Telegram berkode keras bernama “Lone None” dalam program pencuri tersebut, yang terakhir memuat ikon bendera nasional Vietnam dan gambar lambang Kementerian Publik Vietnam. Keamanan.
Cisco Talos mengatakan pihaknya mengamati penyerang menjual kredensial akun Facebook dan Zalo, serta kartu SIM di saluran Telegram “Mua Bán Scan MINI”, yang sebelumnya telah dikaitkan dengan aktor ancaman lain bernama CoralRaider. Lone None juga ditemukan aktif di grup Telegram Vietnam lainnya yang dioperasikan oleh CoralRaider bernama “Cú Black Ads – Dropship.”
Meskipun demikian, saat ini tidak jelas apakah kedua kelompok intrusi ini saling terkait, apakah mereka menjalankan kampanyenya secara independen satu sama lain.
“Alat yang dibagikan oleh penyerang dalam grup adalah utilitas otomatis yang dirancang untuk mengelola beberapa akun pengguna. Alat ini mencakup alat pembuatan batch Hotmail, alat penambangan email, dan alat modifikasi batch cookie Hotmail,” kata para peneliti.
“Paket terkompresi yang disediakan oleh pelaku ancaman seringkali tidak hanya berisi file yang dapat dieksekusi untuk alat ini tetapi juga kode sumbernya, sehingga memungkinkan pengguna untuk memodifikasinya sesuai kebutuhan.”
Ada bukti yang menunjukkan bahwa program tersebut ditawarkan untuk dijual melalui situs lain seperti aehack[.]com yang mengklaim menyediakan alat hack dan cheat gratis. Tutorial penggunaan alat-alat ini dibagikan melalui saluran YouTube, yang lebih lanjut menyoroti bahwa ada upaya bersama untuk memasarkannya.
Rantai serangan yang menyebarkan PXA Stealer dimulai dengan email phishing yang berisi lampiran file ZIP, yang mencakup pemuat berbasis Rust dan folder tersembunyi yang, pada gilirannya, dikemas dalam beberapa skrip batch Windows dan file PDF umpan.
Eksekusi pemuat memicu skrip batch, yang bertanggung jawab untuk membuka dokumen umpan, formulir lamaran pekerjaan Glassdoor, sekaligus menjalankan perintah PowerShell untuk mengunduh dan menjalankan muatan yang mampu menonaktifkan program antivirus yang berjalan di host, diikuti dengan penerapan pencuri itu sendiri.
Fitur penting dari PXA Stealer adalah penekanannya pada pencurian cookie Facebook, menggunakannya untuk mengautentikasi sesi, dan berinteraksi dengan Manajer Iklan Facebook dan API Grafik untuk mengumpulkan detail lebih lanjut tentang akun dan informasi terkait iklannya.
Penargetan akun bisnis dan iklan Facebook telah menjadi pola yang berulang di kalangan pelaku ancaman di Vietnam, dan PXA Stealer juga terbukti demikian.
Pengungkapan ini terjadi ketika IBM X-Force merinci kampanye yang sedang berlangsung sejak pertengahan April 2023 yang mengirimkan StrelaStealer kepada para korban di seluruh Eropa, khususnya Italia, Spanyol, Jerman, dan Ukraina. Aktivitas ini dikaitkan dengan broker akses awal (IAB) yang “cepat matang” yang dilacaknya sebagai Hive0145, yang diyakini sebagai satu-satunya operator malware pencuri tersebut.
“Email phishing yang digunakan dalam kampanye ini adalah pemberitahuan faktur asli, yang telah dicuri melalui kredensial email yang sebelumnya dieksfiltrasi,” kata peneliti Golo Mühr, Joe Fasulo, dan Charlotte Hammond. “StrelaStealer dirancang untuk mengekstrak kredensial pengguna yang disimpan di Microsoft Outlook dan Mozilla Thunderbird.”
Popularitas malware pencuri dibuktikan dengan evolusi berkelanjutan dari keluarga malware yang sudah ada seperti RECORDSTEALER (alias RecordBreaker atau Raccoon Stealer V2) dan Rhadamanthys, dan kemunculan malware baru seperti Amnesia Stealer dan Glove Stealer, meskipun ada upaya penegakan hukum untuk mengganggu mereka.
“Glove Stealer menggunakan modul pendukung khusus untuk menerobos enkripsi yang terikat pada aplikasi dengan menggunakan layanan IElevator,” kata peneliti Gen Digital Jan Rubín. “Meskipun terlihat menyebar melalui email phishing yang menyerupai ClickFix, ia juga mencoba meniru alat perbaikan yang mungkin digunakan pengguna selama pemecahan masalah yang mungkin mereka temui.”