Un actor de amenazas de habla vietnamita ha sido vinculado a una campa\u00f1a de robo de informaci\u00f3n dirigida a entidades gubernamentales y educativas en Europa y Asia con un nuevo malware basado en Python llamado Ladr\u00f3n de PXA<\/strong>.<\/p>\n El malware “se dirige a la informaci\u00f3n confidencial de las v\u00edctimas, incluidas las credenciales de varias cuentas en l\u00ednea, clientes VPN y FTP, informaci\u00f3n financiera, cookies del navegador y datos del software de juegos”, dijeron los investigadores de Cisco Talos Joey Chen, Alex Karkins y Chetan Raghuprasad. dicho<\/a>.<\/p>\n “PXA Stealer tiene la capacidad de descifrar la contrase\u00f1a maestra del navegador de la v\u00edctima y la utiliza para robar las credenciales almacenadas de varias cuentas en l\u00ednea”<\/p>\n Las conexiones con Vietnam surgen de la presencia de comentarios vietnamitas y una cuenta de Telegram codificada llamada “Solitario Ninguno<\/a>” en el programa de ladrones, el \u00faltimo de los cuales incluye un \u00edcono de la bandera nacional de Vietnam y una imagen del emblema del Ministerio de Seguridad P\u00fablica de Vietnam.<\/p>\n Cisco Talos dijo que observ\u00f3 al atacante vendiendo credenciales de cuentas de Facebook y Zalo, y tarjetas SIM en el canal de Telegram “Mua B\u00e1n Scan MINI”, que ha sido previamente<\/a> vinculado a otro actor de amenazas llamado CoralRaider. Tambi\u00e9n se ha descubierto que Lone None est\u00e1 activo en otro grupo vietnamita de Telegram operado por CoralRaider llamado “Anuncios C\u00fa Negros – Dropship<\/a>“.<\/p>\n Dicho esto, actualmente no est\u00e1 claro si estos dos conjuntos de intrusiones est\u00e1n relacionados, si llevan a cabo sus campa\u00f1as de forma independiente el uno del otro.<\/p>\n “Las herramientas compartidas por el atacante en el grupo son utilidades automatizadas dise\u00f1adas para administrar varias cuentas de usuario. Estas herramientas incluyen una herramienta de creaci\u00f3n por lotes de Hotmail, una herramienta de extracci\u00f3n de correo electr\u00f3nico y una herramienta de modificaci\u00f3n por lotes de cookies de Hotmail”, dijeron los investigadores.<\/p>\n “Los paquetes comprimidos proporcionados por el actor de amenazas a menudo contienen no s\u00f3lo los archivos ejecutables de estas herramientas sino tambi\u00e9n su c\u00f3digo fuente, lo que permite a los usuarios modificarlos seg\u00fan sea necesario”.<\/p>\n Hay pruebas que sugieren que dichos programas se ofrecen a la venta a trav\u00e9s de otros sitios como aehack.[.]com que afirman proporcionar herramientas gratuitas de pirateo y trampa. Los tutoriales para usar estas herramientas se comparten a trav\u00e9s de canales de youtube<\/a>destacando adem\u00e1s que existe un esfuerzo concertado para comercializarlos.<\/p>\n Las cadenas de ataques que propagan PXA Stealer comienzan con un correo electr\u00f3nico de phishing que contiene un archivo adjunto ZIP, que incluye un cargador basado en Rust y una carpeta oculta que, a su vez, incluye varios scripts por lotes de Windows y un archivo PDF se\u00f1uelo.<\/p>\n La ejecuci\u00f3n del cargador activa los scripts por lotes, que son responsables de abrir el documento se\u00f1uelo, un formulario de solicitud de empleo de Glassdoor, al mismo tiempo que ejecuta comandos de PowerShell para descargar y ejecutar una carga \u00fatil capaz de deshabilitar los programas antivirus que se ejecutan en el host, seguido de la implementaci\u00f3n del ladr\u00f3n mismo.<\/p>\n Una caracter\u00edstica notable de PXA Stealer es su \u00e9nfasis en robar cookies de Facebook, usarlas para autenticar una sesi\u00f3n e interactuar con Facebook Ads Manager y Graph API para recopilar m\u00e1s detalles sobre la cuenta y su informaci\u00f3n asociada relacionada con los anuncios.<\/p>\n El ataque a cuentas comerciales y publicitarias de Facebook ha sido un patr\u00f3n recurrente entre los actores de amenazas vietnamitas, y PXA Stealer demuestra no ser diferente.<\/p>\n La divulgaci\u00f3n se produce cuando IBM X-Force detall\u00f3 una campa\u00f1a en curso desde mediados de abril de 2023 que entrega StrelaStealer a v\u00edctimas en toda Europa, espec\u00edficamente Italia, Espa\u00f1a, Alemania y Ucrania. La actividad se ha atribuido a un corredor de acceso inicial (IAB) de “r\u00e1pida maduraci\u00f3n” al que rastrea como Hive0145, que se cree que es el \u00fanico operador del malware ladr\u00f3n.<\/p>\n “Los correos electr\u00f3nicos de phishing utilizados en estas campa\u00f1as son notificaciones de facturas reales, que han sido robadas a trav\u00e9s de credenciales de correo electr\u00f3nico previamente exfiltradas”, afirman los investigadores Golo M\u00fchr, Joe Fasulo y Charlotte Hammond. dicho<\/a>. “StrelaStealer est\u00e1 dise\u00f1ado para extraer las credenciales de usuario almacenadas en Microsoft Outlook y Mozilla Thunderbird”.<\/p>\n La popularidad del malware ladr\u00f3n se evidencia en la continua evoluci\u00f3n de familias existentes como LADRO DE REGISTROS<\/a> (tambi\u00e9n conocido como RecordBreaker o Raccoon Stealer V2) y Rhadamanthys, y la aparici\u00f3n constante de otros nuevos como Ladr\u00f3n de amnesia<\/a> y Glove Stealer, a pesar de los esfuerzos de las autoridades por perturbarlos.<\/p>\n “Glove Stealer utiliza un m\u00f3dulo de soporte dedicado para evitar el cifrado vinculado a la aplicaci\u00f3n mediante el uso Servicio de ascensor<\/a>“, Jan Rub\u00edn, investigador de Gen Digital. dicho<\/a>. “Si bien se observa que se propaga a trav\u00e9s de correos electr\u00f3nicos de phishing que se parecen a ClickFix, tambi\u00e9n intenta imitar una herramienta de reparaci\u00f3n que los usuarios podr\u00edan usar para solucionar problemas que puedan haber encontrado”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Un-grupo-de-hackers-vietnamitas-implementa-un-nuevo-ladron-PXA.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\n