Kampaně s útoky typu PXA Stealer
Výzkumníci v oblasti kybernetické bezpečnosti bijí na poplach kvůli novému nárůstu kampaní propagujících PXA Stealer, malware založený na Pythonu, který je speciálně navržen pro sběr citlivých uživatelských dat. Tento sofistikovaný infostealer je připisován skupině vietnamsky mluvících kyberzločinců, kteří jej zneužívají v rámci podzemního ekosystému založeného na předplatném. Tuto kampaň odlišuje integrace s API Telegramu, která umožňuje rychlé zpeněžení, další prodej a opětovné použití ukradených dat s minimálním lidským zásahem.
Obsah
Rozsáhlé infekce a alarmující krádeže dat
Dosah PXA Stealer je rozsáhlý. Bylo napadeno více než 4 000 unikátních IP adres v 62 zemích. Mezi oběťmi se nacházejí Spojené státy, Jižní Korea, Nizozemsko, Maďarsko a Rakousko.
Rozsah ukradených dat je značný:
- Více než 200 000 unikátních hesel
- Stovky záznamů o kreditních kartách
- Více než 4 miliony souborů cookie prohlížeče
Kampaně PXA Stealer, které byly poprvé spatřeny v listopadu 2024, byly zaměřeny na vládní a vzdělávací instituce v Evropě a Asii. Od té doby se vyvinuly do extrakci široké škály dat, včetně:
- Hesla a data automatického vyplňování z prohlížečů
- Přihlašovací údaje k kryptoměnové peněžence
- Konfigurace VPN klienta
- Informace z cloudových nástrojů CLI a Discordu
- Propojené síťové sdílení a finanční platformy
Telegram: Nervové centrum operace
Odcizená data jsou směrována přes Telegramové kanály, kde jsou uložena a monitorována. PXA Stealer používá BotID (TOKEN_BOT) k propojení botů s jejich odpovídajícími ChatID (CHAT_ID) – tyto kanály fungují jako úložiště odcizených informací a slouží jako komunikační uzel pro upozornění na útočníky.
Tato ukradená data jsou směrována na nelegální platformy, jako je Sherlock, tržiště obchodující s protokoly kradených dat. Zde si jiní kyberzločinci mohou data zakoupit za účelem provádění kryptoměnových loupeží nebo proniknutí do firemních sítí, čímž se zapojují do rychle rostoucího dodavatelského řetězce kyberzločinců.
Pokročilé obchodní řemeslo a taktiky úhybných manévrů
Nedávné kampaně v roce 2025 prokázaly značný technický pokrok. Provozovatelé nyní používají techniky bočního načítání DLL a vícevrstvé strategie staging, aby se vyhnuli odhalení a ztížili forenzní analýzu. Klamavým zvratem v řetězci útoku je zobrazení návnadového dokumentu, například falešného oznámení o porušení autorských práv, zatímco škodlivé operace tiše probíhají v pozadí.
Mezi nejvýznamnější vylepšení v novějších variantách PXA Stealeru patří jeho schopnost extrahovat šifrované soubory cookie z prohlížečů založených na Chromu. Toho dosahuje vložením knihovny DLL do aktivních procesů, čímž efektivně obchází ochranu šifrování na úrovni aplikace.
Klíčové techniky operace
Kampaň se vyznačuje několika charakteristickými taktikami:
Ochrana proti analýze : Je navržena tak, aby zpozdila detekci a zmařila snahy o reverzní inženýrství.
Postupné doručování dat : Komplexní infekční řetězce využívající bočně načtené knihovny DLL.
Návnadový obsah : Neškodné soubory používané k maskování škodlivé aktivity.
Infrastruktura C2 založená na Telegramu : Zesílený komunikační kanál používaný pro velení, řízení a exfiltraci dat.
Širší obraz: Rostoucí podzemní trh
Co začalo jako krádež kódu v Pythonu, se nyní rozrostlo v zralou, vícestupňovou kybernetickou operaci. Není to jen pokročilý malware, ale i ekosystém, který ho obklopuje, jako jsou tržiště založená na Telegramu, automatizované kanály pro další prodej dat a organizované monetizační kanály.
Tento vývoj ukazuje, jak se moderní kyberkriminalita stala agilnější, škálovatelnější a hluboce propojenější s nástroji šifrované komunikace. PXA Stealer je ukázkovým příkladem toho, jak aktéři hrozeb přizpůsobují své nástroje a obchod, aby byli v dnešní kyberkriminální ekonomice před odhalením a maximalizovali zisky.
