Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Εκστρατείες επίθεσης PXA Stealer

Εκστρατείες επίθεσης PXA Stealer

Μέχρι το Mezo το Κακόβουλο λογισμικό, Κλέφτες
Μετάφραση σε:

Οι ερευνητές κυβερνοασφάλειας κρούουν τον κώδωνα του κινδύνου για μια νέα αύξηση στις καμπάνιες που προωθούν το PXA Stealer, ένα κακόβουλο λογισμικό βασισμένο σε Python, ειδικά σχεδιασμένο για τη συλλογή ευαίσθητων δεδομένων χρηστών. Αυτό το εξελιγμένο infostealer αποδίδεται σε μια ομάδα βιετναμέζικων κυβερνοεγκληματιών, οι οποίοι το εκμεταλλεύονται σε ένα υπόγειο οικοσύστημα που βασίζεται σε συνδρομές. Αυτό που διαφοροποιεί αυτήν την καμπάνια είναι η ενσωμάτωσή της με τα API του Telegram, επιτρέποντας την ταχεία δημιουργία εσόδων, μεταπώληση και επαναχρησιμοποίηση των κλεμμένων δεδομένων με ελάχιστη ανθρώπινη παρέμβαση.

Εκτεταμένες μολύνσεις και ανησυχητική κλοπή δεδομένων

Η εμβέλεια του PXA Stealer είναι εκτεταμένη. Περισσότερες από 4.000 μοναδικές διευθύνσεις IP σε 62 χώρες έχουν παραβιαστεί. Οι περιοχές που έχουν πληγεί περιλαμβάνουν τις Ηνωμένες Πολιτείες, τη Νότια Κορέα, την Ολλανδία, την Ουγγαρία και την Αυστρία.

Η κλίμακα των κλεμμένων δεδομένων είναι σημαντική:

  • Πάνω από 200.000 μοναδικοί κωδικοί πρόσβασης
  • Εκατοντάδες αρχεία πιστωτικών καρτών
  • Περισσότερα από 4 εκατομμύρια cookies προγράμματος περιήγησης

Αρχικά εντοπίστηκαν τον Νοέμβριο του 2024, οι εκστρατείες PXA Stealer στόχευαν κυβερνητικά και εκπαιδευτικά ιδρύματα στην Ευρώπη και την Ασία. Έκτοτε, έχει εξελιχθεί για να εξάγει ένα ευρύ φάσμα δεδομένων, όπως:

  • Κωδικοί πρόσβασης και δεδομένα αυτόματης συμπλήρωσης από προγράμματα περιήγησης
  • Διαπιστευτήρια πορτοφολιού κρυπτονομισμάτων
  • Διαμορφώσεις προγράμματος-πελάτη VPN
  • Πληροφορίες από εργαλεία CLI cloud και Discord
  • Συνδεδεμένα κοινόχρηστα δίκτυα και χρηματοοικονομικές πλατφόρμες

Τηλεγράφημα: Το Νευρικό Κέντρο της Επέμβασης

Τα δεδομένα που έχουν εξαχθεί δρομολογούνται μέσω καναλιών Telegram, όπου αποθηκεύονται και παρακολουθούνται. Το PXA Stealer χρησιμοποιεί BotIDs (TOKEN_BOT) για να συνδέσει τα bots με τα αντίστοιχα ChatIDs (CHAT_ID) — αυτά τα κανάλια λειτουργούν ως αποθετήρια για κλεμμένες πληροφορίες και χρησιμεύουν ως κόμβος επικοινωνίας για ειδοποιήσεις από απειλητικούς παράγοντες.

Αυτά τα κλεμμένα δεδομένα διοχετεύονται σε παράνομες πλατφόρμες όπως το Sherlock, μια αγορά που διαπραγματεύεται αρχεία καταγραφής κλοπής. Εδώ, άλλοι κυβερνοεγκληματίες μπορούν να αγοράσουν τα δεδομένα για να πραγματοποιήσουν κρυπτογραφικές ληστείες ή να διεισδύσουν σε εταιρικά δίκτυα, τροφοδοτώντας μια ταχέως αναπτυσσόμενη αλυσίδα εφοδιασμού κυβερνοεγκληματιών.

Προηγμένες τακτικές εμπορικής τέχνης και φοροδιαφυγής

Οι πρόσφατες εκστρατείες το 2025 έχουν επιδείξει αξιοσημείωτη τεχνική πρόοδο. Οι χειριστές χρησιμοποιούν πλέον τεχνικές πλευρικής φόρτωσης DLL και στρατηγικές πολυεπίπεδης σταδιοποίησης για να αποφύγουν την ανίχνευση και να εμποδίσουν την εγκληματολογική ανάλυση. Μια παραπλανητική τροπή στην αλυσίδα της επίθεσης περιλαμβάνει την εμφάνιση ενός εγγράφου-δολώματος, όπως μια ψεύτικη ειδοποίηση παραβίασης πνευματικών δικαιωμάτων, ενώ οι κακόβουλες λειτουργίες προχωρούν αθόρυβα στο παρασκήνιο.

Μεταξύ των πιο σημαντικών αναβαθμίσεων στις νεότερες παραλλαγές του PXA Stealer είναι η δυνατότητά του να εξάγει κρυπτογραφημένα cookies από προγράμματα περιήγησης που βασίζονται στο Chromium. Αυτό επιτυγχάνεται εισάγοντας ένα αρχείο DLL σε ενεργές διεργασίες, παρακάμπτοντας αποτελεσματικά τις προστασίες κρυπτογράφησης σε επίπεδο εφαρμογής.

Βασικές Τεχνικές Πίσω από την Επέμβαση

Η καμπάνια παρουσιάζει αρκετές καθοριστικές τακτικές:

Άμυνες κατά της ανάλυσης : Σχεδιασμένες για να καθυστερούν την ανίχνευση και να ματαιώνουν τις προσπάθειες αντίστροφης μηχανικής.

Σταδιακή παράδοση ωφέλιμου φορτίου : Σύνθετες αλυσίδες μόλυνσης χρησιμοποιώντας πλευρικά φορτωμένα DLL.

Περιεχόμενο δολώματος : Μη κακόβουλα αρχεία που χρησιμοποιούνται για την απόκρυψη κακόβουλης δραστηριότητας.

Υποδομή C2 βασισμένη σε τηλεγράφημα : Ενισχυμένος αγωγός επικοινωνίας που χρησιμοποιείται για διοίκηση, έλεγχο και εξαγωγή δεδομένων.

Η ευρύτερη εικόνα: Μια αναπτυσσόμενη υπόγεια αγορά

Αυτό που ξεκίνησε ως κλοπή Python έχει πλέον εξελιχθεί σε μια ώριμη, πολυσταδιακή κυβερνοεπιχείρηση. Δεν είναι μόνο το κακόβουλο λογισμικό που έχει εξελιχθεί, αλλά και το οικοσύστημα που το περιβάλλει, όπως οι αγορές που βασίζονται στο Telegram, τα αυτοματοποιημένα κανάλια μεταπώλησης δεδομένων και οι οργανωμένοι αγωγοί δημιουργίας εσόδων.

Αυτές οι εξελίξεις υπογραμμίζουν πώς το σύγχρονο κυβερνοέγκλημα έχει γίνει πιο ευέλικτο, επεκτάσιμο και βαθιά συνυφασμένο με τα εργαλεία κρυπτογραφημένης επικοινωνίας. Το PXA Stealer αποτελεί ένα χαρακτηριστικό παράδειγμα του πώς οι απειλητικοί παράγοντες προσαρμόζουν τα εργαλεία και το εμπόριο τους για να παραμένουν μπροστά από την ανίχνευση και να μεγιστοποιούν τα κέρδη στη σημερινή οικονομία του κυβερνοεγκλήματος.

Τάσεις

Απάτη μέσω email με αποτυχία επαλήθευσης

Phishing, Ανεπιθύμητη αλληλογραφία
Οι διαδικτυακές απάτες εξελίσσονται ραγδαία και οι καμπάνιες ηλεκτρονικού "ψαρέματος" (phishing) παραμένουν μια από τις πιο συνηθισμένες τακτικές που χρησιμοποιούν οι κυβερνοεγκληματίες. Μεταξύ αυτών, η απάτη ηλεκτρονικού ταχυδρομείου με αποτυχία επαλήθευσης (Verify Failed Email Scam) είναι μια δόλια καμπάνια που έχει σχεδιαστεί για να ξεγελάσει τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητες...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
36,111
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...