عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة سارق PXA

سارق PXA

بواسطة Mezo في البرمجيات الخبيثة, سارقون
ترجمة الى:
العربية

إن حماية أجهزتك وبياناتك الشخصية من البرامج الضارة أمر بالغ الأهمية. ويمثل PXA Stealer، وهو تهديد خفي وفعال، مثالاً واضحًا على الطبيعة المعقدة والمتطورة للبرامج الضارة الحديثة. ويمكن أن يساعد فهم قدراته واستراتيجية العدوى والآثار المترتبة على الاختراق المستخدمين على حماية أنظمتهم.

ما هو PXA Stealer؟

إن PXA Stealer عبارة عن برنامج ضار لسرقة المعلومات تم تصميمه باستخدام Python ومصمم لحصاد البيانات الحساسة من الأنظمة المخترقة. ويستهدف مجموعة واسعة من المعلومات، من محافظ العملات المشفرة والبيانات المخزنة في المتصفح إلى بيانات اعتماد تسجيل الدخول وتفاصيل بطاقات الائتمان. وقد اكتسب هذا السارق سمعة سيئة بسبب عملياته المرتبطة بمجرمي الإنترنت الذين يتواصلون باللغة الفيتنامية، وقد ارتبط بهجمات على قطاع التعليم الهندي والمنظمات الحكومية الأوروبية، بما في ذلك تلك الموجودة في السويد والدنمرك. ومن المثير للقلق أن البيانات التي تم حصادها قد تم رصدها معروضة للبيع على Telegram، مما يكشف عن دور السارق في دعم أنشطة إجرامية إلكترونية أوسع نطاقًا.

كيف يتسلل فيروس PXA إلى الأجهزة

تبدأ سلسلة الإصابة بفيروس PXA Stealer عادةً برسالة بريد إلكتروني عشوائية. غالبًا ما تحتوي هذه الرسائل على مرفق أرشيف ZIP، والذي بمجرد فتحه، يبدأ سلسلة من الخطوات التي تتضمن نصوصًا دفعية وبرامج ضارة محملة مكتوبة بلغة Rust. وإليك كيفية تطور السلسلة:

  • نشر الحمولة : يقوم البرنامج النصي للدفعة الأولية بإنشاء اتصال بموقع بعيد يستضيف البرامج الضارة. يؤدي هذا إلى تنزيل PXA Stealer وبرنامج نصي مصمم للتهرب من اكتشاف برامج مكافحة الفيروسات.
  • مرحلة التنفيذ : يقوم المحمل الذي تم تنزيله بتشغيل ملف Python القابل للتنفيذ، والذي يقوم بدوره بتشغيل كل من البرنامج النصي للتهرب وPXA Stealer نفسه.
  • استراتيجية الخداع : لتشتيت انتباه المستخدم، قد تتضمن عملية العدوى فتح ملف وهمي يبدو غير ضار، مثل نموذج PDF أو مستند.

تقنيات التهرب والتعتيم المتقدمة

يستخدم PXA Stealer تكتيكات تشويش متطورة طوال عملية العدوى. ويشمل ذلك نصوص دفعية تقوم بتشغيل أوامر PowerShell وتنفيذ مهام مخفية مصممة لمنع الكشف بواسطة برامج الأمان. كما يقوم البرنامج الخبيث بإنهاء العمليات بشكل منهجي من قائمة محددة مسبقًا، مستهدفًا الأدوات المرتبطة بالتحليل والكشف. وهذا يضمن بقاء أنشطته مخفية أثناء سحب البيانات من المتصفحات وعملاء FTP وVPN وتطبيقات البرامج المختلفة.

ما الذي يستهدفه PXA Stealer؟

بمجرد التضمين، يقوم PXA Stealer بالبحث عن مجموعة واسعة من المعلومات الحساسة، بما في ذلك على سبيل المثال لا الحصر:

  • بيانات المتصفح : سجلات التصفح وملفات تعريف الارتباط وتفاصيل التعبئة التلقائية وكلمات المرور المستخرجة من المتصفحات المستندة إلى Chromium (مثل Google Chrome) والمستندة إلى Gecko (مثل Mozilla Firefox).
  • محافظ العملات المشفرة : تعتبر المحافظ المستندة إلى ملحقات سطح المكتب والمتصفح عرضة للخطر، مما قد يعرض المفاتيح الخاصة وعناوين المحفظة للخطر.
  • عملاء FTP وVPN : يتم اختراق تفاصيل تسجيل الدخول والتكوينات المخزنة للحصول على وصول غير مصرح به إلى موارد الشبكة.
  • رؤى وسائل التواصل الاجتماعي : على وجه الخصوص، يتم جمع البيانات المتعلقة بمدير إعلانات Facebook، مثل تفاصيل الجلسة وحالات حساب الإعلان ومعلومات العمل، لاستخدامها بشكل سيئ في الحملات الاحتيالية.
  • البرامج الحساسة الأخرى : يمتد نطاق البرامج الضارة المستهدف إلى برامج المراسلة، وبرامج الألعاب، ومديري كلمات المرور.

استغلال البيانات المجمعة

لقد لوحظ أن المعلومات التي تم جمعها، بما في ذلك بيانات تسجيل الدخول والبيانات المالية، يتم تسويقها على Telegram. ترتبط القناة المرتبطة بهذا النشاط بمجموعة إجرامية إلكترونية فيتنامية معروفة، على الرغم من أنه لا يزال من غير الواضح ما إذا كانوا هم المطورين الأصليين لبرنامج PXA Stealer. يمكن استخدام البيانات التي تم الحصول عليها في مجموعة من الأنشطة غير المشروعة، مثل:

  • غسيل الأموال: استغلال الحسابات المخترقة لنقل الأموال دون أن يتم اكتشافها.
  • مبيعات الحسابات الاحتيالية: تداول الوصول إلى حسابات Facebook وZalo والمنصات الأخرى.
  • سرقة الهوية: استخدام المعلومات الشخصية لارتكاب أشكال مختلفة من الاحتيال.

التهديد المتطور للبرامج الضارة

يعمل مطورو البرامج الضارة بشكل متكرر على تحسين أدواتهم، ولا يشكل PXA Stealer استثناءً. وهذا يعني أن المتغيرات المستقبلية قد تعمل على توسيع قدراتها واستهداف أنواع إضافية من البيانات أو المستخدمين. وقد تتطور طرق التوزيع أيضًا لتشمل منصات أو تنسيقات أخرى، مما يعزز الحاجة إلى يقظة المستخدمين.

كيف ينتشر PXA Stealer؟

على الرغم من أن PXA Stealer معروف بأنه ينتشر من خلال حملات البريد العشوائي عبر البريد الإلكتروني التي تحتوي على ملفات ZIP تالفة، إلا أن طرق التوزيع الأخرى معقولة. توزع بعض قنوات Telegram المرتبطة أدوات البرامج الضارة بحرية، بينما تتاجر بها قنوات أخرى في دوائر أكثر حصرية. يمكن أن يتوسع نطاق هذا البرنامج الضار من خلال:

  • حملات التصيد الاحتيالي: رسائل البريد الإلكتروني الماكرة التي تحتوي على روابط أو مرفقات مصممة لخداع المستخدمين.
  • التنزيلات المجمعة : مخفية داخل حزم البرامج من مصادر غير موثوقة.
  • التنزيلات غير المقصودة: التنزيلات الخفية التي يتم البدء بها دون موافقة المستخدم.
  • التحديثات المزيفة وأدوات الاختراق: متخفية في صورة تحديثات برامج شرعية أو أدوات تنشيط غير مشروعة.

أفضل الممارسات للدفاع

أفضل طريقة لمنع الإصابة بالتهديدات مثل PXA Stealer هي من خلال تدابير الأمن السيبراني الاستباقية. تعامل مع مرفقات البريد الإلكتروني من مصادر غير معروفة بعناية، وتجنب الوصول إلى الروابط المشبوهة وحافظ على تحديث برنامجك. راجع أذونات المتصفح بانتظام وكن حذرًا من تنزيل المحتوى من المواقع غير الموثوقة.

الخلاصة: كن متقدمًا بخطوة واحدة

تؤكد البرامج الضارة مثل PXA Stealer على أهمية الوعي وممارسات الأمن السيبراني الاستباقية. ومع استمرار الغزاة في تحسين أساليبهم وتوسيع أهدافهم، فإن فهم كيفية عمل هذه التهديدات يمكن أن يحدث الفارق بين التعرض للخطر والبقاء آمنًا. يجب على المستخدمين أن يظلوا يقظين، وأن يشككوا في شرعية الاتصالات غير المرغوب فيها، وأن يعطوا الأولوية للحماية الشاملة لحماية بيئاتهم الرقمية.

الشائع

الأكثر مشاهدة

جار التحميل...