【安全资讯】PXA Stealer: 新型恶意软件针对欧洲和亚洲的政府与教育机构

概要：

近期，Cisco Talos发现了一起针对欧洲和亚洲政府及教育领域的复杂网络攻击事件，攻击者使用了一种名为“PXA Stealer”的新型信息窃取恶意软件。该事件的影响范围广泛，涉及多个国家和机构，凸显了网络安全威胁的严峻性。

主要内容：

Cisco Talos的报告指出，PXA Stealer恶意软件专门设计用于渗透受害者系统，窃取包括凭证、财务信息及其他敏感数据在内的关键信息。该恶意软件具备解密浏览器主密码的能力，能够直接访问加密的浏览器数据，获取用户名、密码、Cookies及自动填充信息。此次攻击的目标包括印度的教育机构以及瑞典和丹麦等欧洲国家的政府组织。

攻击者的动机是窃取受害者的多种在线账户凭证、浏览器登录数据、信用卡信息及加密货币钱包数据。PXA Stealer的基础设施包括可疑域名tvseo[.]com，可能被攻击者用来托管恶意载荷。攻击者还利用Telegram机器人进行数据外泄，巧妙地隐藏和协调敏感数据的转移。

攻击过程始于一封带有ZIP文件附件的钓鱼邮件，附件中包含用Rust编写的恶意加载程序。加载程序执行后，会部署多个混淆的批处理脚本以避免被检测。Talos强调，整个过程的每一步都至关重要，需精确执行以实现准确的去混淆。这一复杂的交付方式使得PXA Stealer在传统数据盗窃之外，能够针对特定浏览器中的高价值账户信息进行提取，进一步加剧了网络安全的风险。