ارتبطت جهة تهديد ناطقة باللغة الفيتنامية بحملة متخصصة في سرقة المعلومات تستهدف كيانات حكومية وتعليمية في أوروبا وآسيا، باستخدام برمجية خبيثة جديدة قائمة على لغة بايثون تدعى PXA Stealer.

بحسب "thehackernews"، تهدف هذه البرمجية إلى سرقة بيانات خاصة من الضحايا، بما في ذلك معلومات الحسابات المصرفية، وبيانات العملاء لخدمات VPN وFTP، وكلمات المرور المخزنة في المتصفحات، وملفات تعريف الارتباط، بالإضافة إلى بيانات من برامج الألعاب.

اختراق بيانات عملاء شركة أمريكية وسرقة 50 مليار سجل مكالمات

تسريب بيانات 200 ألف عميل بعد اختراق موقع تسوق شهير

تحليل البرمجية ومزاياها المتقدمة

وفقًا لباحثي Cisco Talos، يتميز PXA Stealer بقدرته على فك تشفير كلمة المرور الرئيسية المخزنة في المتصفح، مما يُمكنه من الوصول إلى بيانات الحسابات المتعددة المحفوظة.

وتظهر دلائل تشير إلى علاقة هذه البرمجية بفيتنام من خلال وجود تعليقات باللغة الفيتنامية وحساب Telegram باسم "Lone None" مع أيقونة علم فيتنام ورمز وزارة الأمن العام الفيتنامية.

نشاطات تهريب البيانات وتجارة الحسابات

راقبت Cisco Talos نشاط الهاكر في بيع بيانات اعتماد حسابات Facebook وZalo إلى جانب بطاقات SIM، عبر قناة Telegram "Mua Bán Scan MINI" التي تم ربطها سابقًا بجهة تهديد أخرى تُدعى CoralRaider.

كما وجد أن الهاكر ينشط في مجموعة Telegram أخرى يديرها CoralRaider تدعى "Cú Black Ads - Dropship".

أدوات متطورة لإدارة الحسابات

توفر مجموعة الأدوات التي يتشاركها المهاجم مع أعضاء المجموعة برامج تلقائية لإدارة الحسابات، منها أداة لإنشاء حسابات Hotmail بكميات كبيرة، وأداة لتعدين البريد الإلكتروني، وأداة لتعديل ملفات تعريف الارتباط الخاصة بـHotmail.

وتحتوي الحزم المضغوطة المقدمة من المهاجمين على ملفات تنفيذية وشيفرات المصدر، مما يُتيح للمستخدمين تعديل الأدوات وفق احتياجاتهم.

ترويج أدوات التهكير عبر الإنترنت

يتم تسويق هذه الأدوات على مواقع مثل aehack[.]com التي تُقدم "أدوات تهكير مجانية"، مع تقديم شروحات لاستخدامها عبر قنوات YouTube، مما يوضح الجهد المبذول للترويج لها.

التسلسل الهجومي باستخدام PXA Stealer

تبدأ سلسلة الهجوم برسالة تصيد إلكتروني تحتوي على ملف مضغوط يتضمن أداة تحميل Rust-based Loader ومجلد مخفي يحتوي على سكريبتات Batch خاصة بويندوز وملف PDF مزيف.

عند تفعيل الأداة، يتم تشغيل سكريبتات Batch لفتح مستند ملفت للنظر على شكل استمارة تقديم لوظيفة عبر موقع Glassdoor، مع تنفيذ أوامر PowerShell لتعطيل برامج مكافحة الفيروسات على الجهاز المستهدف، ثم نشر برنامج PXA Stealer.

تركيز PXA Stealer على سرقة بيانات Facebook

يتميز PXA Stealer بقدرته على سرقة ملفات تعريف الارتباط الخاصة بـFacebook، والتي تُستخدم لمصادقة الجلسات والوصول إلى مدير إعلانات Facebook وGraph API للحصول على تفاصيل إضافية حول الحسابات والإعلانات المرتبطة بها.

ويعد استهداف حسابات الإعلانات التجارية على Facebook نمطًا شائعًا بين جهات التهديد الفيتنامية.

استمرار شعبية برمجيات سرقة البيانات رغم الجهود الأمنية

لا يزال استخدام برمجيات سرقة البيانات شائعًا رغم جهود مكافحة الجرائم الإلكترونية. تُظهر بعض الأبحاث أن عائلات مثل RECORDSTEALER وRhadamanthys لا تزال تتطور باستمرار، في حين تظهر برمجيات جديدة مثل Amnesia Stealer وGlove Stealer.