- Uma nova variante de malware Linux oferece recursos avançados e mecanismos de evasão
- Já infectou milhares de dispositivos em todo o mundo
- Senhas, informações do cartão de crédito e muito mais, em risco
Um novo malware Linux foi encontrado infectando milhares de computadores em todo o mundo, roubando credenciais de login das pessoas, informações de pagamento e cookies de navegador, os pesquisadores de segurança estão avisando.
A Sentinellabs e a Beazley Security emitiram um relatório conjunto detalhando as atividades do PXA Colinger, um novo Infotealer baseado em Python para a plataforma Linux.
Foi visto pela primeira vez no final de 2024 e, desde então, se tornou uma ameaça formidável, evitando com sucesso as ferramentas de defesa enquanto causava estragos em todo o mundo.
Carregamento lateral
Desde a sua criação, a PSA Stealer viu várias iterações, com as mais recentes informações roubando cerca de 40 navegadores – senhas salvas, cookies, informações pessoalmente identificáveis (PII), dados de preenchimento automático, tokens de autenticação e muito mais.
Ele pode segmentar extensões de navegador para várias carteiras de criptografia, incluindo êxodo, magia Eden, Crypto.com e muitos outros, e pode extrair dados de sites como Coinbase, Kraken e PayPal. Finalmente, ele pode injetar uma DLL nas instâncias de navegador em execução para ignorar os mecanismos de criptografia.
Aparentemente, a PSA Stealer está sendo distribuída por e -mails de phishing e páginas de destino maliciosas. Os anexos maliciosos contêm um programa legítimo (como um leitor de PDF) e uma DLL armada. O programa lidera a DLL, implantando com sucesso o malware, sem aumentar nenhum alarmes.
Mais de 4.000 computadores foram infectados com a ladrão de PSA em 62 países, disseram as duas empresas, sugerindo que a campanha é bastante bem -sucedida.
No entanto, os atacantes – que parecem ser de origem vietnamita – não estão interessados em usar os dados roubados e, em vez disso, estão vendendo -os no mercado negro – em um grupo de telegramas.
A maioria das vítimas está localizada na Coréia do Sul, EUA, Holanda, Hungria e Áustria.
“Inicialmente surgindo no final de 2024, essa ameaça amadureceu em uma operação altamente evasiva e em vários estágios, impulsionada por atores de língua vietnamita, com laços aparentes com um mercado de telegrama cibernético organizado que vende dados roubados de vítimas”, explicou os pesquisadores. Até agora, mais de 200.000 foram senhas roubadas, além de centenas de informações sobre cartão de crédito e mais de quatro milhões de cookies.
Via O registro
Fique conectado