思科塔洛斯(Cisco Talos)最近发现了一个针对欧洲和亚洲政府和教育部门敏感信息的复杂网络活动。该活动由一个讲越南语的威胁分子操纵,利用一种名为 “PXA Stealer ”的新型信息窃取恶意软件。思科的报告显示,PXA Stealer 经过精心设计,可潜入受害者的系统,从网络浏览器和应用程序中窃取一系列关键数据,包括凭证、财务信息和其他敏感信息。
Talos 报告强调:“PXA Stealer 有能力解密受害者的浏览器主密码,并利用它窃取各种在线账户的存储凭证。”这一独特功能使恶意软件能够绕过安全措施,直接访问加密的浏览器数据,让攻击者能够获取用户名、密码、cookie,甚至自动填充信息。
此次活动的目标实体包括印度的教育机构以及瑞典和丹麦等欧洲国家的政府组织。据 Talos 称,“攻击者的动机是窃取受害者的信息,包括各种在线账户的凭证、浏览器登录数据、cookie、自动填充信息、信用卡详细信息、各种加密货币在线和桌面钱包的数据、已安装的 VPN 客户端的数据、游戏软件账户、聊天工具、密码管理器和 FTP 客户端。”
支持 PXA Stealer 的基础架构包括 tvdseo[.]com 等域,这些域疑似已被攻陷或被用于托管恶意有效载荷的合法访问。威胁行为者利用 Telegram 机器人进行数据外渗,有效隐藏并协调敏感数据的传输。Talos 专家发现,“攻击者的 Telegram 账户有传记数据,其中包括一个指向私人杀毒软件检查网站的链接,该网站允许用户或买家评估恶意软件程序的检测率”,这表明这是一种确保 PXA Stealer 不被发现的精心策划的方法。
Cisco Talos 观察到,PXA Stealer 活动开始于一封带有 ZIP 文件附件的钓鱼电子邮件,其中包含一个用 Rust 编写的恶意加载程序。加载程序执行后,会部署多个混淆批脚本,以避免被检测到。Talos 指出,“该过程中的每一步都至关重要,需要精确执行才能实现准确的去混淆”,这凸显了恶意软件传播方式的复杂性。
除了传统的数据窃取,PXA Stealer 还针对流行浏览器中的特定配置文件,提取存储在加密数据库中的登录数据、cookie 和信用卡详细信息。该恶意软件还 “从浏览器的登录数据文件中收集受害者的登录信息”,优先获取与高价值账户相关的信息。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容