Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Campanyes d'atac de robatori de PXA

Campanyes d'atac de robatori de PXA

El Mezo el Programari maliciós, Ladrons
Traduir a:

Investigadors de ciberseguretat estan donant l'alarma per un nou augment de campanyes que impulsen PXA Stealer, un programari maliciós basat en Python dissenyat específicament per recopilar dades sensibles dels usuaris. Aquest sofisticat lladre d'informació s'atribueix a un grup de ciberdelinqüents de parla vietnamita, que l'exploten dins d'un ecosistema clandestí basat en subscripcions. El que diferencia aquesta campanya és la seva integració amb les API de Telegram, que permet monetitzar, revendre i reutilitzar ràpidament les dades robades amb una mínima intervenció humana.

Infeccions generalitzades i robatori de dades alarmant

L'abast de PXA Stealer és extens. S'han compromès més de 4.000 adreces IP úniques de 62 països. Entre les regions víctimes hi ha els Estats Units, Corea del Sud, els Països Baixos, Hongria i Àustria.

L'escala de les dades robades és significativa:

  • Més de 200.000 contrasenyes úniques
  • Centenars de registres de targetes de crèdit
  • Més de 4 milions de galetes del navegador

Inicialment detectades el novembre del 2024, les campanyes de PXA Stealer es van dirigir a institucions governamentals i educatives d'Europa i Àsia. Des de llavors, ha evolucionat per extreure una àmplia gamma de dades, com ara:

  • Contrasenyes i dades d'emplenament automàtic dels navegadors
  • Credencials de cartera de criptomonedes
  • Configuracions de clients VPN
  • Informació de les eines de la CLI al núvol i Discord
  • Comparticions de xarxa connectades i plataformes financeres

Telegram: El centre neuràlgic de l’operació

Les dades exfiltrades es dirigeixen a través dels canals de Telegram, on s'emmagatzemen i es monitoritzen. PXA Stealer utilitza BotID (TOKEN_BOT) per vincular els bots als seus ChatID corresponents (CHAT_ID); aquests canals actuen com a repositoris d'informació robada i serveixen com a centre de comunicació per a les notificacions dels actors amenaçadors.

Aquestes dades robades es canalitzen cap a plataformes il·lícites com ara Sherlock, un mercat que es dedica a la venda de registres de robatoris. Aquí, altres ciberdelinqüents poden comprar les dades per dur a terme robatoris de criptomonedes o penetrar a les xarxes corporatives, cosa que alimenta una cadena de subministrament de ciberdelinqüents en ràpid creixement.

Tàctiques avançades d’ofici i evasió

Les campanyes recents del 2025 han demostrat un notable avenç tècnic. Els operadors ara utilitzen tècniques de càrrega lateral de DLL i estratègies de preparació multicapa per evitar la detecció i dificultar l'anàlisi forense. Un gir enganyós en la cadena d'atac implica la visualització d'un document esquer, com ara un avís fals d'infracció de drets d'autor, mentre que les operacions malicioses es duen a terme silenciosament en segon pla.

Entre les millores més significatives de les variants més noves de PXA Stealer hi ha la seva capacitat d'extreure galetes xifrades dels navegadors basats en Chromium. Ho fa injectant una DLL als processos actius, evitant eficaçment les proteccions de xifratge a nivell d'aplicació.

Tècniques clau darrere de l’operació

La campanya presenta diverses tàctiques definitòries:

Defenses antianàlisi : dissenyades per retardar la detecció i frustrar els esforços d'enginyeria inversa.

Lliurament de càrrega útil per etapes : cadenes d'infecció complexes mitjançant DLL carregades lateralment.

Contingut esquer : fitxers no maliciosos utilitzats per emmascarar activitats malicioses.

Infraestructura C2 basada en Telegram : Canalització de comunicació reforçada utilitzada per al comandament, el control i l'exfiltració de dades.

El panorama general: un mercat subterrani en creixement

El que va començar com un lladre de Python ara ha crescut fins a convertir-se en una operació cibernètica madura i de diverses etapes. No només és el programari maliciós el que està avançat, sinó també l'ecosistema que l'envolta, com ara mercats basats en Telegram, canals automatitzats de revenda de dades i canals de monetització organitzats.

Aquests desenvolupaments destaquen com la ciberdelinqüència moderna s'ha tornat més àgil, escalable i profundament entrellaçada amb les eines de comunicació xifrades. PXA Stealer es presenta com un exemple perfecte de com els actors d'amenaces estan adaptant les seves eines i el seu ofici per mantenir-se per davant de la detecció i maximitzar els beneficis en l'economia ciberdelinqüent actual.

Tendència

Estafa de correu electrònic amb verificació fallida

Phishing, Correu brossa
Les estafes en línia estan evolucionant ràpidament i les campanyes de phishing continuen sent una de les tàctiques més comunes utilitzades pels ciberdelinqüents. Entre aquestes, l'estafa de correu electrònic amb verificació fallida és una campanya fraudulenta dissenyada per enganyar els destinataris perquè revelin informació confidencial. Aquests correus electrònics no estan connectats a cap...

Més vist

Carregant...