Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Кампании за атаки срещу кражба на PXA

Кампании за атаки срещу кражба на PXA

До Mezo през Зловреден софтуер, Крадциг
Превод на:

Изследователите по киберсигурност бият тревога заради нов скок в кампаниите, промотиращи PXA Stealer, зловреден софтуер, базиран на Python, специално проектиран за събиране на чувствителни потребителски данни. Този сложен инфостейлер се приписва на група виетнамскоговорящи киберпрестъпници, които го експлоатират в рамките на абонаментна подземна екосистема. Това, което отличава тази кампания, е интеграцията ѝ с Telegram API, позволяваща бързо монетизиране, препродажба и повторна употреба на откраднати данни с минимална човешка намеса.

Широко разпространени инфекции и тревожна кражба на данни

Обхватът на PXA Stealer е широк. Повече от 4000 уникални IP адреса в 62 държави са били компрометирани. Жертвите на атаката включват Съединените щати, Южна Корея, Холандия, Унгария и Австрия.

Мащабът на откраднатите данни е значителен:

  • Над 200 000 уникални пароли
  • Стотици записи на кредитни карти
  • Повече от 4 милиона „бисквитки“ на браузъра

Първоначално забелязани през ноември 2024 г., кампаниите на PXA Stealer бяха насочени към правителствени и образователни институции в Европа и Азия. Оттогава приложението се е развило, за да извлича широк спектър от данни, включително:

  • Пароли и данни за автоматично попълване от браузъри
  • Идентификационни данни за портфейл с криптовалута
  • Конфигурации на VPN клиенти
  • Информация от облачни CLI инструменти и Discord
  • Свързани мрежови споделяния и финансови платформи

Телеграма: Нервният център на операцията

Извлечените данни се пренасочват през Telegram канали, където се съхраняват и наблюдават. PXA Stealer използва BotIDs (TOKEN_BOT), за да свърже ботовете със съответните им ChatIDs (CHAT_ID) – тези канали действат като хранилища за открадната информация и служат като комуникационен център за известия от злонамерени лица.

Тези откраднати данни се насочват към незаконни платформи като Sherlock, пазар, търгуващ с регистрационни файлове на крадци. Там други киберпрестъпници могат да закупят данните, за да извършват крипто обири или да проникнат в корпоративни мрежи, захранвайки бързоразвиваща се верига за доставки на киберпрестъпници.

Разширени търговски умения и тактики за избягване

Последните кампании през 2025 г. демонстрираха забележителен технически напредък. Операторите вече използват техники за странично зареждане на DLL файлове и многопластови стратегии за поставяне, за да избегнат откриването и да възпрепятстват криминалистичния анализ. Подвеждащ обрат във веригата на атаките включва показването на документ-примамка, като например фалшиво известие за нарушаване на авторски права, докато злонамерени операции протичат тихо на заден план.

Сред най-значимите подобрения в по-новите варианти на PXA Stealer е способността му да извлича криптирани бисквитки от браузъри, базирани на Chromium. Това се постига чрез инжектиране на DLL в активни процеси, като по този начин ефективно се заобикалят защитите от криптиране на ниво приложение.

Ключови техники зад операцията

Кампанията демонстрира няколко определящи тактики:

Защита срещу анализ : Проектирана е да забави откриването и да осуети усилията за обратно инженерство.

Поетапно доставяне на полезен товар : Сложни вериги от инфекции, използващи странично заредени DLL файлове.

Примамливо съдържание : Незлонамерени файлове, използвани за маскиране на злонамерена дейност.

C2 инфраструктура, базирана на Telegram : Подсилен комуникационен канал, използван за командване, контрол и извличане на данни.

По-голямата картина: Разрастващ се подземен пазар

Това, което започна като крадец на Python код, сега се е превърнало в зряла, многоетапна кибероперация. Не само зловредният софтуер е усъвършенстван, но и екосистемата около него, като например базирани на Telegram пазари, автоматизирани канали за препродажба на данни и организирани канали за монетизация.

Тези развития подчертават как съвременната киберпрестъпност е станала по-гъвкава, мащабируема и дълбоко преплетена с инструменти за криптирана комуникация. PXA Stealer е отличен пример за това как злонамерените лица адаптират своите инструменти и търговия, за да изпреварят разкриването и да увеличат максимално печалбите си в днешната киберпрестъпна икономика.

Тенденция

Неуспешна проверка на имейл измама

Фишинг, Спам
Онлайн измамите се развиват бързо, а фишинг кампаниите остават една от най-често срещаните тактики, използвани от киберпрестъпниците. Сред тях е измамната кампания „Неуспешно проверяване на имейли“ (Verification Failed Email Scam), предназначена да подведе получателите да разкрият чувствителна информация. Тези имейли не са свързани с никакви легитимни компании, организации или доставчици на...

Най-гледан

Зловреден софтуер

Фишинг, Спам
36,111
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...