کمپین‌های حمله‌ی سارقان PXA

محققان امنیت سایبری نسبت به موج جدید کمپین‌هایی که از PXA Stealer، یک بدافزار مبتنی بر پایتون که به طور خاص برای برداشت اطلاعات حساس کاربران طراحی شده است، استفاده می‌کنند، هشدار می‌دهند. این سارق اطلاعات پیشرفته به گروهی از مجرمان سایبری ویتنامی زبان نسبت داده می‌شود که از آن در یک اکوسیستم زیرزمینی مبتنی بر اشتراک سوءاستفاده می‌کنند. آنچه این کمپین را متمایز می‌کند، ادغام آن با APIهای تلگرام است که امکان کسب درآمد سریع، فروش مجدد و استفاده مجدد از داده‌های سرقت شده را با حداقل دخالت انسانی فراهم می‌کند.

آلودگی‌های گسترده و سرقت نگران‌کننده داده‌ها

دامنه‌ی نفوذ PXA Stealer گسترده است. بیش از ۴۰۰۰ آدرس IP منحصر به فرد در ۶۲ کشور مورد نفوذ قرار گرفته است. مناطق قربانی شامل ایالات متحده، کره جنوبی، هلند، مجارستان و اتریش می‌شوند.

مقیاس داده‌های سرقت شده قابل توجه است:

• بیش از ۲۰۰۰۰۰ رمز عبور منحصر به فرد
• صدها پرونده کارت اعتباری
• بیش از ۴ میلیون کوکی مرورگر

در ابتدا در نوامبر ۲۰۲۴، کمپین‌های PXA Stealer مشاهده شدند که مؤسسات دولتی و آموزشی در اروپا و آسیا را هدف قرار می‌دادند. از آن زمان، این بدافزار برای استخراج طیف گسترده‌ای از داده‌ها از جمله موارد زیر تکامل یافته است:

• رمزهای عبور و داده‌های تکمیل خودکار از مرورگرها
• اعتبارنامه‌های کیف پول ارزهای دیجیتال
• پیکربندی‌های کلاینت VPN
• اطلاعات از ابزارهای رابط خط فرمان ابری و دیسکورد
• سهام شبکه متصل و پلتفرم‌های مالی

تلگرام: مرکز عصبی عملیات

داده‌های استخراج‌شده از طریق کانال‌های تلگرام، جایی که ذخیره و نظارت می‌شوند، هدایت می‌شوند. PXA Stealer از BotIDها (TOKEN_BOT) برای پیوند دادن ربات‌ها به ChatIDهای مربوطه‌شان (CHAT_ID) استفاده می‌کند - این کانال‌ها به عنوان مخزنی برای اطلاعات سرقت‌شده عمل می‌کنند و به عنوان یک مرکز ارتباطی برای اعلان‌های عامل تهدید عمل می‌کنند.

این داده‌های سرقت‌شده به پلتفرم‌های غیرقانونی مانند شرلوک، یک بازار معاملاتی در زمینه‌ی سرقت اطلاعات، هدایت می‌شوند. در اینجا، سایر مجرمان سایبری می‌توانند داده‌ها را برای انجام سرقت‌های ارز دیجیتال یا نفوذ به شبکه‌های سازمانی خریداری کنند و به یک زنجیره‌ی تأمین مجرمان سایبری که به سرعت در حال رشد است، تغذیه کنند.

تاکتیک‌های پیشرفته‌ی تریدکرافت و گریز

کمپین‌های اخیر در سال ۲۰۲۵ پیشرفت فنی قابل توجهی را نشان داده‌اند. اپراتورها اکنون از تکنیک‌های بارگذاری جانبی DLL و استراتژی‌های مرحله‌بندی چندلایه برای جلوگیری از شناسایی و جلوگیری از تحلیل‌های قانونی استفاده می‌کنند. یک چرخش فریبنده در زنجیره حمله شامل نمایش یک سند فریبنده، مانند یک اخطار نقض حق چاپ جعلی، است، در حالی که عملیات مخرب بی‌سروصدا در پس‌زمینه ادامه می‌یابد.

از جمله مهم‌ترین ارتقاهای صورت گرفته در نسخه‌های جدیدتر PXA Stealer، قابلیت آن در استخراج کوکی‌های رمزگذاری شده از مرورگرهای مبتنی بر کرومیوم است. این بدافزار این کار را با تزریق یک DLL به فرآیندهای فعال انجام می‌دهد و عملاً از محافظت‌های رمزگذاری در سطح برنامه عبور می‌کند.

تکنیک‌های کلیدی پشت این عملیات

این کمپین چندین تاکتیک مشخص را به نمایش می‌گذارد:

دفاع‌های ضد تحلیل : برای به تأخیر انداختن تشخیص و خنثی کردن تلاش‌های مهندسی معکوس طراحی شده‌اند.

ارائه‌ی مرحله‌ایِ بارِ داده : زنجیره‌های آلودگی پیچیده با استفاده از DLLهای بارگذاری‌شده‌ی جانبی.

محتوای فریبنده : فایل‌های غیرمخرب که برای پنهان کردن فعالیت‌های مخرب استفاده می‌شوند.

زیرساخت C2 مبتنی بر تلگرام : خط ارتباطی مستحکم که برای فرماندهی، کنترل و استخراج داده‌ها استفاده می‌شود.

تصویر بزرگتر: یک بازار زیرزمینی رو به رشد

آنچه که به عنوان یک دزد پایتون آغاز شد، اکنون به یک عملیات سایبری بالغ و چند مرحله‌ای تبدیل شده است. این فقط بدافزار نیست که پیشرفته است، بلکه اکوسیستم اطراف آن، مانند بازارهای مبتنی بر تلگرام، کانال‌های فروش مجدد خودکار داده‌ها و خطوط لوله کسب درآمد سازمان‌یافته نیز پیشرفته است.

این تحولات نشان می‌دهد که چگونه جرایم سایبری مدرن چابک‌تر، مقیاس‌پذیرتر و عمیقاً با ابزارهای ارتباطی رمزگذاری شده در هم تنیده شده‌اند. PXA Stealer به عنوان نمونه‌ای برجسته از چگونگی تطبیق ابزارها و تجارت عاملان تهدید برای جلوگیری از شناسایی و به حداکثر رساندن سود در اقتصاد جرایم سایبری امروز، شناخته می‌شود.