دزد PXA

محافظت از دستگاه ها و داده های شخصی شما در برابر برنامه های مخرب بسیار مهم است. PXA Stealer، یک تهدید مخفی و کارآمد، ماهیت پیچیده و در حال تکامل بدافزار مدرن را نشان می دهد. درک قابلیت‌های آن، استراتژی آلودگی و پیامدهای نقض می‌تواند به کاربران کمک کند تا از سیستم خود محافظت کنند.

PXA Stealer چیست؟

PXA Stealer یک بدافزار سرقت اطلاعات است که در پایتون ساخته شده و برای جمع آوری داده های حساس از سیستم های در معرض خطر طراحی شده است. طیف گسترده‌ای از اطلاعات، از کیف پول‌های ارزهای دیجیتال و داده‌های ذخیره‌شده در مرورگر گرفته تا اعتبارنامه‌های ورود و جزئیات کارت اعتباری را هدف قرار می‌دهد. این سارق به دلیل عملیات مرتبط با مجرمان سایبری که به زبان ویتنامی ارتباط برقرار می‌کنند، شهرت پیدا کرده است و با حملاتی به بخش آموزش هند و سازمان‌های دولتی اروپایی، از جمله سازمان‌های سوئد و دانمارک مرتبط بوده است. به طور نگران کننده ای، داده های جمع آوری شده برای فروش در تلگرام مشاهده شده است که نقش دزد را در حمایت از فعالیت های مجرمانه سایبری گسترده تر نشان می دهد.

چگونه دزد PXA به دستگاه ها نفوذ می کند

زنجیره عفونت PXA Stealer معمولاً با یک ایمیل هرزنامه شروع می شود. این پیام‌ها اغلب حاوی یک پیوست بایگانی ZIP هستند که پس از باز شدن، مجموعه‌ای از مراحل شامل اسکریپت‌های دسته‌ای و یک بدافزار لودر نوشته شده در Rust را آغاز می‌کند. در اینجا نحوه باز شدن زنجیره آمده است:

• استقرار بار بار : اسکریپت دسته ای اولیه یک اتصال به یک سایت راه دور که میزبان بدافزار است برقرار می کند. این منجر به دانلود PXA Stealer و یک اسکریپت طراحی شده برای فرار از شناسایی آنتی ویروس می شود.
• مرحله اجرا : لودر دانلود شده یک فایل اجرایی پایتون را راه اندازی می کند که به نوبه خود اسکریپت فرار و خود PXA Stealer را اجرا می کند.
• استراتژی فریب : برای پرت کردن حواس کاربر، فرآیند عفونت ممکن است شامل باز کردن یک فایل طعمه به ظاهر بی ضرر، مانند فرم یا سند PDF باشد.

تکنیک های پیشرفته فرار و مبهم سازی

PXA Stealer از تاکتیک های پیچیده مبهم سازی در طول فرآیند عفونت خود استفاده می کند. این شامل اسکریپت‌های دسته‌ای است که دستورات PowerShell را اجرا می‌کنند و وظایف مخفی را اجرا می‌کنند که برای جلوگیری از شناسایی توسط نرم‌افزار امنیتی طراحی شده‌اند. این بدافزار همچنین به طور سیستماتیک فرآیندها را از یک لیست از پیش تعریف شده خاتمه می دهد و ابزارهای مرتبط با تجزیه و تحلیل و شناسایی را هدف قرار می دهد. این تضمین می‌کند که فعالیت‌های آن در حین حذف داده‌ها از مرورگرها، کلاینت‌های FTP و VPN و برنامه‌های نرم‌افزاری مختلف پنهان بماند.

PXA Stealer چه چیزی را هدف قرار می دهد؟

پس از جاسازی، PXA Stealer مجموعه گسترده ای از اطلاعات حساس را اسکن می کند، از جمله اما نه محدود به:

• داده‌های مرورگر : تاریخچه‌های مرور، کوکی‌ها، جزئیات تکمیل خودکار و گذرواژه‌های استخراج‌شده از مرورگرهای مبتنی بر Chromium (به عنوان مثال، Google Chrome) و مبتنی بر Gecko (مثلاً Mozilla Firefox).
• کیف پول های رمزنگاری شده : هم کیف پول های دسکتاپ و هم کیف های مبتنی بر برنامه افزودنی مرورگر آسیب پذیر هستند و به طور بالقوه کلیدهای خصوصی و آدرس های کیف پول را در معرض دید قرار می دهند.
• مشتریان FTP و VPN : جزئیات ورود و پیکربندی های ذخیره شده برای دسترسی غیرمجاز به منابع شبکه به خطر افتاده است.
• بینش رسانه های اجتماعی : به ویژه، داده های مربوط به مدیر تبلیغات فیس بوک، مانند جزئیات جلسه، وضعیت حساب های تبلیغاتی، و اطلاعات کسب و کار، برای سوء استفاده احتمالی در کمپین های تقلبی جمع آوری می شوند.
• سایر نرم‌افزارهای حساس : دامنه هدف بدافزار به پیام‌رسان‌ها، نرم‌افزارهای بازی و مدیران رمز عبور می‌رسد.

بهره برداری از داده های جمع آوری شده

اطلاعات جمع‌آوری‌شده، از جمله اعتبار ورود و داده‌های مالی، در حال بازاریابی در تلگرام مشاهده شده است. کانال مرتبط با این فعالیت به یک گروه مجرم سایبری ویتنامی متصل است، اگرچه مشخص نیست که آیا آنها توسعه دهندگان اصلی PXA Stealer هستند یا خیر. داده های به دست آمده را می توان برای طیف وسیعی از فعالیت های غیرقانونی استفاده کرد، مانند:

• پول شویی: استفاده از حساب های در معرض خطر برای انتقال وجوه ناشناخته.
• فروش حساب های تقلبی: دسترسی تجاری به فیس بوک، حساب های Zalo، و سایر سیستم عامل ها.
• سرقت هویت: استفاده از اطلاعات شخصی برای ارتکاب اشکال مختلف کلاهبرداری.

تهدید بدافزار در حال تکامل

توسعه دهندگان بدافزار اغلب ابزارهای خود را اصلاح می کنند و PXA Stealer نیز از این قاعده مستثنی نیست. این بدان معنی است که انواع آینده می توانند قابلیت های خود را گسترش دهند و انواع بیشتری از داده ها یا کاربران را هدف قرار دهند. روش‌های توزیع ممکن است به گونه‌ای تکامل یابد که پلتفرم‌ها یا قالب‌های دیگر را نیز شامل شود و نیاز کاربران به هوشیاری را تقویت کند.

PXA Stealer چگونه پخش می شود؟

اگرچه شناخته شده است که PXA Stealer از طریق کمپین های هرزنامه ایمیل حاوی فایل های ZIP خراب منتشر می شود، روش های توزیع دیگر قابل قبول هستند. برخی از کانال های تلگرام مرتبط، ابزارهای بدافزار را آزادانه توزیع می کنند، در حالی که برخی دیگر آنها را در حلقه های انحصاری تر معامله می کنند. دامنه دسترسی این بدافزار می تواند از طریق:

• کمپین‌های فیشینگ: ایمیل‌های حیله‌ای که شامل لینک‌ها یا پیوست‌هایی هستند که برای فریب دادن کاربران طراحی شده‌اند.
• دانلودهای همراه : در بسته های نرم افزاری از منابع نامعتبر پنهان شده است.
• دانلودهای Drive-by: دانلودهای مخفیانه بدون رضایت کاربر آغاز می شوند.
• به‌روزرسانی‌های جعلی و ابزارهای کرک: به عنوان به‌روزرسانی‌های نرم‌افزار قانونی یا ابزارهای فعال‌سازی غیرقانونی پنهان شده‌اند.

بهترین شیوه ها برای دفاع

بهترین راه برای جلوگیری از عفونت توسط تهدیداتی مانند سرقت کننده PXA از طریق اقدامات پیشگیرانه امنیت سایبری است. پیوست های ایمیل از منابع ناشناس را با دقت مدیریت کنید، از دسترسی به لینک های مشکوک خودداری کنید و نرم افزار خود را به روز نگه دارید. به طور مرتب مجوزهای مرورگر را بررسی کنید و مراقب دانلود محتوا از سایت های تایید نشده باشید.

نتیجه گیری: یک قدم جلوتر باشید

بدافزاری مانند PXA Stealer بر اهمیت آگاهی و اقدامات پیشگیرانه امنیت سایبری تاکید می کند. همانطور که مهاجمان به اصلاح روش های خود و گسترش اهداف خود ادامه می دهند، درک نحوه عملکرد این تهدیدها می تواند تفاوت بین در خطر بودن و ایمن ماندن را ایجاد کند. کاربران باید هوشیار بمانند، مشروعیت ارتباطات ناخواسته را زیر سوال ببرند و برای حفاظت از محیط دیجیتال خود، حفاظت جامع را در اولویت قرار دهند.