حملة تجسس رقمية تستهدف كيانات حكومية وتعليمية في أوروبا وآسيا عبر برنامج جديد

ارتبطت جهة تهديد ناطقة باللغة الفيتنامية بحملة متخصصة في سرقة المعلومات تستهدف كيانات حكومية وتعليمية في أوروبا وآسيا، باستخدام برمجية خبيثة جديدة قائمة على لغة بايثون تدعى PXA Stealer.

بحسب 'thehackernews'، تهدف هذه البرمجية إلى سرقة بيانات خاصة من الضحايا، بما في ذلك معلومات الحسابات المصرفية، وبيانات العملاء لخدمات VPN وFTP، وكلمات المرور المخزنة في المتصفحات، وملفات تعريف الارتباط، بالإضافة إلى بيانات من برامج الألعاب.

وفقًا لباحثي Cisco Talos، يتميز PXA Stealer بقدرته على فك تشفير كلمة المرور الرئيسية المخزنة في المتصفح، مما يُمكنه من الوصول إلى بيانات الحسابات المتعددة المحفوظة.

وتظهر دلائل تشير إلى علاقة هذه البرمجية بفيتنام من خلال وجود تعليقات باللغة الفيتنامية وحساب Telegram باسم 'Lone None' مع أيقونة علم فيتنام ورمز وزارة الأمن العام الفيتنامية.

راقبت Cisco Talos نشاط الهاكر في بيع بيانات اعتماد حسابات Facebook وZalo إلى جانب بطاقات SIM، عبر قناة Telegram 'Mua Bán Scan MINI' التي تم ربطها سابقًا بجهة تهديد أخرى تُدعى CoralRaider.

كما وجد أن الهاكر ينشط في مجموعة Telegram أخرى يديرها CoralRaider تدعى 'Cú Black Ads - Dropship'.

توفر مجموعة الأدوات التي يتشاركها المهاجم مع أعضاء المجموعة برامج تلقائية لإدارة الحسابات، منها أداة لإنشاء حسابات Hotmail بكميات كبيرة، وأداة لتعدين البريد الإلكتروني، وأداة لتعديل ملفات تعريف الارتباط الخاصة بـHotmail.

وتحتوي الحزم المضغوطة المقدمة من المهاجمين على ملفات تنفيذية وشيفرات المصدر، مما يُتيح للمستخدمين تعديل الأدوات وفق احتياجاتهم.

يتم تسويق هذه الأدوات على مواقع مثل aehack[.]com التي تُقدم 'أدوات تهكير مجانية'، مع تقديم شروحات لاستخدامها عبر قنوات YouTube، مما يوضح الجهد المبذول للترويج لها.

تبدأ سلسلة الهجوم برسالة تصيد إلكتروني تحتوي على ملف مضغوط يتضمن أداة تحميل Rust-based Loader ومجلد مخفي يحتوي على سكريبتات Batch خاصة بويندوز وملف PDF مزيف.

عند تفعيل الأداة، يتم تشغيل سكريبتات Batch لفتح مستند ملفت للنظر على شكل استمارة تقديم لوظيفة عبر موقع Glassdoor، مع تنفيذ أوامر PowerShell لتعطيل برامج مكافحة الفيروسات على الجهاز المستهدف، ثم نشر برنامج PXA Stealer.

يتميز PXA Stealer بقدرته على سرقة ملفات تعريف الارتباط الخاصة بـFacebook، والتي تُستخدم لمصادقة الجلسات والوصول إلى مدير إعلانات Facebook وGraph API للحصول على تفاصيل إضافية حول الحسابات والإعلانات المرتبطة بها.

ويعد استهداف حسابات الإعلانات التجارية على Facebook نمطًا شائعًا بين جهات التهديد الفيتنامية.

لا يزال استخدام برمجيات سرقة البيانات شائعًا رغم جهود مكافحة الجرائم الإلكترونية. تُظهر بعض الأبحاث أن عائلات مثل RECORDSTEALER وRhadamanthys لا تزال تتطور باستمرار، في حين تظهر برمجيات جديدة مثل Amnesia Stealer وGlove Stealer.