Pelaku ancaman yang menggunakan bahasa Vietnam telah dikaitkan dengan kampanye pencurian informasi yang menargetkan entitas Pemerintah dan Pendidikan di Eropa dan Asia dengan malware Python baru bernama PXA Stealer. Malware ini mencuri informasi sensitif korban, termasuk kredensial untuk berbagai akun online, VPN dan klien FTP, informasi finansial, cookies browser, dan data dari perangkat lunak game. Kaitan ke Vietnam berasal dari adanya komentar Vietnam dan akun Telegram bernama “Lone None” dalam program perangkat pencuri tersebut. Sebuah kelompok yang beroperasi di Telegram dengan nama “Mua Bán Scan MINI” telah dihubungkan dengan CoralRaider. Kampanye PXA Stealer dimulai dengan email phishing yang mengandung lampiran file ZIP yang berisi loader berbasis Rust dan folder tersembunyi dengan sejumlah batch script Windows dan file PDF. Berikut rantai infeksi dan target dari malware tersebut:
PXA Stealer ini memprioritaskan pencurian cookies Facebook untuk mengotentikasi sesi dan berinteraksi dengan Facebook Ads Manager dan Graph API untuk mengumpulkan lebih banyak detail tentang akun dan informasi iklannya. Serangan berantai PXA Stealer dimulai dengan email phishing yang mengandung lampiran file ZIP, yang berisi loader berbasis Rust dan folder tersembunyi yang pada gilirannya, memuat sejumlah script batch Windows dan file PDF. Kehadiran malware pencuri semakin terlihat dengan evolusi keluarga malware yang ada seperti RECORDSTEALER atau Rhadamanthys, dan munculnya malware baru seperti Amnesia Stealer dan Glove Stealer, meskipun upaya penegakan hukum untuk mengganggu mereka.
Sumber: https://thehackernews.com/2024/11/vietnamese-hacker-group-deploys-new-pxa.html
