خانه » نفوذ بدافزار PXA stealer به بخش آموزشی هند و سازمان‌های اروپایی

نفوذ بدافزار PXA stealer به بخش آموزشی هند و سازمان‌های اروپایی

توسط Vulnerbyte
18 بازدید
گروه vulnerbyte - گروه والنربایت -vulnerbyte group - بدافزار PXA stealer - رباینده اطلاعات

سیسکو تالوس یک بدافزار رباینده جدید به نام PXA یا PXA stealer را کشف کرده است که برای سرقت اطلاعات طراحی شده است. این بدافزار به زبان پایتون نوشته شده و توسط یک هکر ویتنامی زبان مدیریت می‌شود.

PXA Stealer، اطلاعات حساس قربانیان از جمله داده‌های لاگین حساب‌های مختلف، شماره کارت‌های اعتباری، کیف پول‌های ارز دیجیتال، اطلاعات مالی، داده‌های کلاینت‌های VPN نصب شده، کلاینت‌های FTP ، کوکی‌های مرورگر، چت پیام رسان‌ها و سایر داده‌های حساس سیستم عامل ویندوز را می‌رباید.

PXA Stealer این قابلیت را دارد که رمز عبور اصلی مرورگر قربانی را رمزگشایی کرده و از آن برای سرقت اطلاعات کاربری ذخیره شده حساب‌های آنلاین مختلف استفاده ‌کند.

شواهد بیانگر آن است که این مهاجم ویتنامی بخش آموزشی هند و سازمان‌های دولتی در کشورهای اروپایی از جمله سوئد و دانمارک را مورد هدف قرار داده است.

گروه vulnerbyte - گروه والنربایت -vulnerbyte group - بدافزار PXA stealer - رباینده اطلاعات
اطلاعات قربانیان بدافزار PXA stealer

فعالیت‌های مخفیانه مهاجم ویتنامی

تالوس در تحقیقات خود متوجه شد که مهاجم اسکریپت‌های مخرب و بدافزار رباینده را در دامنه tvdseo[.]com در دایرکتوری‌های «/file»، «/file/PXA/»، «/file/STC/»، و «/ file/Adonis/» میزبانی می‌کند.

دامنه متعلق به یک ارائه دهنده خدمات حرفه‌ای SEO ویتنامی است. با این حال، هنوز مشخص نیست که آیا مهاجم، دامنه را برای میزبانی فایل‌های مخرب خود هک کرده است و یا دارای اشتراک قانونی می‌باشد.

مهاجم از ربات تلگرام برای استخراج اطلاعات قربانیان استفاده می‌کند. نتایج تحلیل و آنالیز پیلود PXA Stealer منجر به شناسایی چندین توکن ربات تلگرام و شناسه‌های چت که توسط مهاجم کنترل می‌شوند، گردید. مهاجم از تکنیک‌های مبهم سازی پیچیده برای اسکریپت‌های batch مورد استفاده در این حمله استفاده می‌کند.

تالوس یک اکانت تلگرامی به نام Lone None متعلق به مهاجم را شناسایی کرده که در PXA Stealer هاردکد شده است. این اکانت تلگرامی در بخش بیوگرافی دارای یک سری داده‌ می‌باشد. یکی از این داده‌ها، لینکی به یک وب‌سایت برای بررسی آنتی ویروس می‌باشد که به کاربران یا خریداران بدافزار این امکان را می‌دهد تا میزان شناسایی یک بدافزار توسط آنتی ویروس را ارزیابی کنند.

این وب سایت بستری را برای هکرها فراهم می‌آورد تا کارایی و قابلیت‌های مخفیانه بدافزار را قبل از خرید آن ارزیابی کنند که نشان دهنده سطح پیشرفته خدمات و حرفه‌ای بودن عملیات مهاجم است.

هکر ویتنامی در یک کانال تلگرامی زیرزمینی دیگر به نام “Mua Bán Scan MINI” نیز فعال می‌باشد که عمدتاً حساب‌های فیس بوک، Zalo، سیم کارت‌ها، گواهی‌های اعتبار و داده‌های پولشویی را تبلیغ کرده و به فروش می‌رساند.

تالوس همچنین مشاهده کرده است که این هکر در گروه تلگرامی CoralRaider نیز فعالیت می‌کند. با این حال، هنوز مشخص نیست که آیا این هکر یکی از اعضای گروه CoralRaider است و یا یک گروه هک سایبری ویتنامی مستقل!

گروه vulnerbyte - گروه والنربایت -vulnerbyte group - بدافزار رباینده PXA - رباینده اطلاعات
کانال‌های تلگرامی که هکر ویتنامی در آنها عضو است

ابزارهای به اشتراک گذاشته شده توسط مهاجم در گروه، ابزارهای خودکاری هستند که برای مدیریت چندین اکانت طراحی شده‌اند. این ابزارها شامل ابزار ایجاد batch  هات‌میل (Hotmail)، ابزار استخراج ایمیل و ابزار تغییر batch   کوکی Hotmail  می‌باشند.

پکیج‌های فشرده و ارائه شده توسط هکر اغلب نه تنها فایل‌های اجرایی این ابزارها بلکه کد منبع آنها را نیز شامل می‌شوند که به کاربران امکان می‌دهند در صورت نیاز آنها را تغییر دهند.

 

زنجیره نفوذ بدافزار PXA Stealer

مهاجم با ارسال یک ایمیل فیشینگ به همراه یک فایل ZIP پیوست شده، دسترسی اولیه به سیستم قربانی را به دست می‌آورد. فایل ZIP حاوی یک لودر مخرب کامپایل شده به زبان Rust و یک پوشه مخفی به نام Photos است. پوشه مخفی دارای پوشه‌های تکرارشونده دیگری مانند اسناد و تصاویر می‌باشد که حاوی اسکریپت‌های batch  مبهم ویندوزی و یک سند PDF طعمه است.

گروه vulnerbyte - گروه والنربایت -vulnerbyte group - بدافزار PXA stealer - رباینده اطلاعات
زنجیره نفوذ بدافزار PXA stealer

هنگامی که قربانی فایل ZIP پیوست شده را استخراج می‌کند، پوشه پنهان و فایل اجرایی لودر Rust  بر روی دستگاه قربانی مستقر می‌شوند. با اجرای لودر، چندین اسکریپت batch  مبهم که در پوشه‌های مخفی قرار دارند، بارگیری و اجرا می‌شوند.

اسکریپت‌های batch ، دستورات PowerShell را به طور همزمان اجرا می‌کنند و فعالیت‌های زیر را بر روی ماشین قربانی انجام می‌دهند:

  • یک سند PDF طعمه که یک فرم درخواست شغلی Glassdoor می‌باشد را باز می‌کنند.
  • یک آرشیو Python 3.10 به نام “zip” را دانلود می‌کنند که در دامنه کنترل شده توسط مهاجم با URL رمزگذاری شده “hxxps[://]tvdseo[.]com/file/synaptics[.]zip”، میزبانی می‌شود. این فایل در فولدر temp پروفایل کاربر ذخیره می‌شود.
  • سپس، یک فایل شورتکات ویندوز با نام “lnk”را ایجاد و اجرا می‌کنند، یک دستور با کد base64 را به عنوان آرگومان خط فرمان در فولدر temp پروفایل کاربر پیکربندی کرده و کلید رجیستری “Run” را با مسیر فایل شورتکات برای ایجاد تداوم دسترسی پیکربندی می‌کنند.
  • فایل شورتکات ویندوز توسط یک اسکریپت پایتون تک خطی، یک برنامه پایتون را از یک سرور راه دور دانلود می‌کند. برنامه دانلود شده حاوی دستورالعمل‌هایی برای غیرفعال سازی برنامه‌های آنتی ویروس در دستگاه قربانی است.
  • اسکریپت batch در مرحله بعد، به اجرای یک فرمان PowerShell می‌پردازد که بدافزار PXA Stealer  را دانلود و آن را با فایل اجرایی پنهان شده «synaptics.exe»  در دستگاه قربانی اجرا می‌کند.
  • اسکریپت batch دیگری به نام bat  در پوشه startup  ویندوز دستگاه قربانی برای ایجاد تداوم دسترسی مستقر می‌شود.

 

سرقت داده‌های قربانیان توسط بدافزار PXA Stealer

PXA Stealer یک برنامه پایتون است که دارای قابلیت‌های گسترده‌ای برای ربودن انواع داده‌ها در دستگاه قربانیان می‌باشد.

هنگامی که PXA Stealer اجرا می‌شود، فرآیندهای مختلفی را مطابق با یک لیست هاردکد شده با اجرای دستور Task kill متوقف می‌کند از جمله نرم‌افزار تشخیص endpoint ، فرآیند ضبط و تجزیه و تحلیل شبکه، نرم‌افزار VPN، برنامه‌های کیف پول ارز دیجیتال، اپلیکیشن‌های انتقال فایل، مرورگر وب و برنامه‌های پیام‌رسان.

از جمله کیف پول‌های ارز دیجتال دسکتاپ که PXA Stealer آنها را مورد هدف قرار میدهد میتوان به Armory، Atomic، Binance، Bitcoin، Bytecoin، Coinami، Coinomi، Electrum، Electrum-LTC، Exodus، Guarda، Ledger، Wasabi و Zcash اشاره کرد.

PXA Stealer قابلیت رمزگشایی کلید اصلی مرورگر را دارد که یک کلید رمزنگاری است که توسط مرورگرهای وب مانند Google Chrome و سایر مرورگرهای مبتنی بر Chromium برای محافظت از اطلاعات حساس از جمله رمزهای عبور ذخیره شده، کوکی‌ها و سایر داده‌ها به صورت رمزگذاری شده در سیستم استفاده می‌شود.

PXA Stealer به فایل کلید اصلی “Local State” واقع در فولدر مرورگر که حاوی اطلاعات کلید رمزگذاری استفاده شده برای رمزگذاری داده‌های ذخیره شده کاربر در فایل “Login Data” است، دسترسی پیدا می‌کند و آن را با استفاده از CryptUnprotectData  رمزگشایی می‌کند. این تابع به مهاجم اجازه می‌دهد تا به داده‌های لاگین ذخیره شده و سایر اطلاعات حساس مرورگر دسترسی پیدا کند.

گروه vulnerbyte - گروه والنربایت -vulnerbyte group - بدافزار رباینده PXA - رباینده اطلاعات
تابع رمزگشایی بدافزار PXA Stealer برای رمزگشایی کلید اصلی مرورگر

یکی از ویژگی‌های قابل توجه PXA Stealer تمرکز آن بر سرقت کوکی‌های فیس‌بوک، استفاده از آن‌ها برای احراز هویت یک نشست و تعامل با مدیر تبلیغات فیس‌بوک و Graph API به منظور جمع‌آوری جزئیات بیشتر در مورد حساب و اطلاعات مرتبط با تبلیغات است.

هدف قرار دادن حساب‌های تبلیغاتی و تجاری فیس‌بوک یک الگوی تکرارشونده در میان هکرهای ویتنامی می‌باشد و ثابت می‌کند که PXA Stealer تفاوتی با آنها ندارد.

PXA Stealer پس از جمع‌آوری داده‌های قربانی، یک آرشیو ZIP از همه فایل‌ها با نام “CountryCode_Victim’s public Computername.zip” ایجاد و آن را به ربات تلگرام هکر ارسال می‌کند.

PXA Stealer پس از استخراج داده‌های قربانی، پوشه‌هایی را که حاوی داده‌های جمع آوری شده کاربر بودند را حذف می‌کند.

گروه vulnerbyte - گروه والنربایت -vulnerbyte group - بدافزار PXA stealer - رباینده اطلاعات
تابع استخراج بدافزار PXA Stealer

حذف دستی این بدافزار ممکن است یک فرآیند طولانی و پیچیده باشد که به مهارت‌های پیشرفته فناوری اطلاعات نیاز دارد. از این رو پیشنهاد می‌شود از ابزارهای حرفه ای و راهکارهای امنیتی برای حذف بدافزار استفاده کنید.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید