Nhóm tin tặc Việt Nam bị cáo buộc đứng sau phần mềm độc hại mới PXA Stealer

Một nhóm tin tặc người Việt đã phát động một chiến dịch đánh cắp thông tin nhằm vào các tổ chức chính phủ và giáo dục ở Châu Âu và Châu Á bằng phần mềm độc hại mới PXA Stealer, được viết bằng Python.

Theo các nhà nghiên cứu từ Cisco Talos, phần mềm này nhắm đến thông tin nhạy cảm của nạn nhân, bao gồm thông tin đăng nhập cho nhiều tài khoản trực tuyến, VPN và FTP, thông tin tài chính của nạn nhân, cookie trình duyệt và dữ liệu từ các ứng dụng trò chơi.

Sự liên kết với Việt Nam được xác nhận thông qua sự xuất hiện của các bình luận bằng tiếng Việt trong mã nguồn của phần mềm độc hại. Ngoài ra, một tài khoản Telegram có tên “Lone None” cũng đã được phát hiện, trong đó có biểu tượng quốc kỳ Việt Nam và hình ảnh của Bộ Công an. 

Các nhà nghiên cứu cho biết tin tặc đã sử dụng kênh Telegram này để bán thông tin tài khoản Facebook và Zalo cùng thẻ SIM của người dùng, liên kết với một nhóm tin tặc khác có tên là CoralRaider. Tuy nhiên, hiện tại vẫn chưa rõ liệu hai nhóm này có liên quan đến nhau hay không.

Tin tặc sử dụng các công cụ tự động để quản lý nhiều tài khoản người dùng, bao gồm công cụ tạo hàng loạt email Hotmail, khai thác email và sửa đổi cookie. Các gói phần mềm mà chúng cung cấp thường không chỉ chứa các tệp thực thi mà còn cả mã nguồn của các công cụ này, cho phép tùy chỉnh các tác vụ. 

Chuỗi tấn công bắt đầu bằng một phishing email chứa tệp ZIP đính kèm, trong đó chứa trình tải Rust, một thư mục ẩn bao gồm các script Windows batch và 1 file PDF mồi nhử. 

Khi nạn nhân mở tệp, trình tải này sẽ kích hoạt các tập lệnh để mở tài liệu giả mạo (thường là biểu mẫu đơn xin việc trên Glassdoor) và chạy các lệnh PowerShell nhằm tải xuống và thực thi phần mềm độc hại, vô hiệu hóa các chương trình diệt virus hiện có trên máy tính.

Một trong những điểm đáng chú ý của PXA Stealer là khả năng tập trung vào đánh cắp cookie của Facebook. Những cookie này được sử dụng để xác thực phiên người dùng, cho phép tin tặc truy cập vào tài khoản Facebook, truy cập các tài khoản Facebook Ads Manager cũng như Graph API để thu thập thêm thông tin về tài khoản và các hoạt động quảng cáo liên quan. 

Việc nhắm vào các tài khoản quảng cáo và kinh doanh trên Facebook là một hình thức tấn công phổ biến của các tin tặc đến từ Việt Nam, và PXA Stealer không phải là ngoại lệ.

Sự phát triển không ngừng của các phần mềm độc hại như PXA Stealer cho thấy một xu hướng đáng lo ngại trong lĩnh vực an ninh mạng, bất chấp nỗ lực mạnh mẽ từ các cơ quan thực thi pháp luật nhằm ngăn chặn các hoạt động tội phạm này.

Nguồn: The hacker news