PXA Stealer kampány
A Cyble elemzése egy aktívan futó kampányt mutat be, amely jól illusztrálja a modern infostealer műveletek és a social engineering konvergenciáját, különösen a professzionális közösségi platformokon, mint például a LinkedIn.
A kampány egy Vietnamhoz köthető kiberbűnözői csoporthoz kapcsolható, és elsődlegesen álláskeresőket céloz több régióban. A támadási lánc kezdeti hozzáférési pontja maga a LinkedIn, ahol kompromittált fiókokon keresztül hitelesnek tűnő állásajánlatokat terjesztenek. Ez a megközelítés jelentősen növeli a sikerességet, mivel a támadás egy már megbízható kapcsolati hálón belül történik, így a klasszikus phishing indikátorok kevésbé észlelhetők.
A fertőzési lánc több lépcsőből áll, és végül a PXA Stealer nevű malware telepítéséhez vezet. A támadók legitim szolgáltatásokat – például Google Forms vagy Dropbox – használnak a payload terjesztésére, ami segít megkerülni a reputáció-alapú védelmi mechanizmusokat. A végső payload egy fejlett infostealer, amely képes érzékeny adatok széles körének gyűjtésére, beleértve böngészőben tárolt hitelesítő adatokat, kriptotárca-információkat, 2FA tokeneket és e-mail fiókokhoz tartozó adatokat.
A kmapány során legitim Microsoft 365 eszközöket használnak DLL sideloading technikával, miközben a rosszindulatú komponenseket mesterségesen megnövelt méretű fájlokba csomagolják, hogy megkerüljék az ellenőrzési mechanizmusokat. A payload végrehajtása memóriában történik, minimalizálva a diszken hagyott nyomokat és megnehezítve a forenzikus elemzést.
A kompromittált LinkedIn fiók – különösen HR vagy toborzó szerepkörben – exponenciálisan növeli a fertőzés terjedési sebességét, mivel a támadók automatikusan a meglévő kapcsolati hálón keresztül küldik tovább a csaló üzeneteket. Ez egy trust-chain exploitation modell, ahol maga a közösségi háló válik a fertőzés terjesztési infrastruktúrájává.
Kiberbiztonsági szempontból a legfontosabb tanulság, hogy a támadások egyre inkább identitás- és bizalomalapú platformokra épülnek, nem pedig klasszikus e-mail phishingre. A támadási felület így áttevődik a professzionális közösségi hálókra, ahol a felhasználók alapértelmezetten magasabb bizalmi szinttel működnek.
