הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית קמפיינים של התקפות גנבת PXA

קמפיינים של התקפות גנבת PXA

עד Mezo ב-תוכנה זדונית, גונבים
לתרגם ל:

חוקרי אבטחת סייבר משמיעים אזעקה מפני גל חדש של קמפיינים המקדמים את PXA Stealer, תוכנה זדונית מבוססת פייתון שתוכננה במיוחד לאסוף נתוני משתמשים רגישים. גנבת מידע מתוחכמת זו מיוחסת לקבוצת פושעי סייבר דוברי וייטנאמית, המנצלים אותה בתוך מערכת אקולוגית תת-קרקעית מבוססת מנויים. מה שמייחד את הקמפיין הזה הוא האינטגרציה שלו עם ממשקי API של טלגרם, המאפשרים להפיק רווחים, למכור מחדש ולשימוש חוזר במהירות בנתונים גנובים עם התערבות אנושית מינימלית.

זיהומים נרחבים וגניבת נתונים מדאיגה

טווח ההשפעה של PXA Stealer נרחב. יותר מ-4,000 כתובות IP ייחודיות ב-62 מדינות נפגעו. אזורי הקורבן כוללים את ארצות הברית, דרום קוריאה, הולנד, הונגריה ואוסטריה.

היקף הנתונים שנגנבו הוא משמעותי:

  • מעל 200,000 סיסמאות ייחודיות
  • מאות רישומי כרטיסי אשראי
  • יותר מ-4 מיליון עוגיות דפדפן

קמפיינים של גנבי PXA, שזוהו לראשונה בנובמבר 2024, כוונו כלפי מוסדות ממשלתיים וחינוכיים באירופה ובאסיה. מאז, הם התפתחו כדי לחלץ מגוון רחב של נתונים, כולל:

  • סיסמאות ונתוני מילוי אוטומטי מדפדפנים
  • פרטי גישה לארנק הקריפטו
  • תצורות לקוח VPN
  • מידע מכלי CRI בענן ומדיסקורד
  • שיתופי רשת מחוברים ופלטפורמות פיננסיות

טלגרם: מרכז העצבים של המבצע

נתונים שנגנבו מנותבים דרך ערוצי טלגרם, שם הם מאוחסנים ומנוטרים. PXA Stealer משתמש ב-BotIDs (TOKEN_BOT) כדי לקשר בוטים ל-ChatIDs המתאימים שלהם (CHAT_ID) - ערוצים אלה משמשים כמאגרים למידע גנוב ומשמשים כמרכז תקשורת להתראות של גורמי איום.

נתונים גנובים אלה מועברים לפלטפורמות לא חוקיות כמו Sherlock, זירת מסחר העוסקת ביומני גניבה. כאן, פושעי סייבר אחרים יכולים לרכוש את הנתונים כדי לבצע גניבות קריפטו או לחדור לרשתות ארגוניות, ולהזין את שרשרת האספקה של פושעי סייבר הצומחת במהירות.

טקטיקות התחמקות ומלאכת יד מתקדמות

קמפיינים אחרונים בשנת 2025 הפגינו התקדמות טכנית ניכרת. המפעילים משתמשים כעת בטכניקות טעינה צדדית של קבצי DLL ובאסטרטגיות רב-שכבתיות כדי להימנע מגילוי ולעכב ניתוח פורנזי. תפנית מטעה בשרשרת ההתקפה כוללת הצגת מסמך דמה, כגון הודעת הפרת זכויות יוצרים מזויפת, בעוד פעולות זדוניות מתנהלות בשקט ברקע.

בין השדרוגים המשמעותיים ביותר בגרסאות החדשות יותר של PXA Stealer היא היכולת שלו לחלץ עוגיות מוצפנות מדפדפנים מבוססי Chromium. הוא עושה זאת על ידי הזרקת DLL לתהליכים פעילים, ובכך עוקף למעשה הגנות הצפנה ברמת האפליקציה.

טכניקות מפתח מאחורי המבצע

הקמפיין מציג מספר טקטיקות בולטות:

הגנות נגד ניתוח : נועדו לעכב את הגילוי ולסכל מאמצי הנדסה לאחור.

משלוח מטען בשלבים : שרשראות זיהום מורכבות באמצעות קבצי DLL טעונים צדדית.

תוכן דמה : קבצים שאינם זדוניים המשמשים להסתרת פעילות זדונית.

תשתית C2 מבוססת טלגרם : צינור תקשורת מוקשח המשמש לפיקוד, בקרה וחילוץ נתונים.

התמונה הגדולה: שוק תת-קרקעי הולך וגדל

מה שהחל כגנב פייתון הפך כעת לפעילות סייבר בוגרת ורב-שלבית. לא רק התוכנה הזדונית מתקדמת, אלא גם המערכת האקולוגית הסובבת אותה, כגון זירות מסחר מבוססות טלגרם, ערוצי מכירה אוטומטיים של נתונים וצנרת מונטיזציה מאורגנת.

התפתחויות אלו מדגישות כיצד פשיעת הסייבר המודרנית הפכה זריזה יותר, ניתנת להרחבה ושזורה עמוקות יותר בכלי תקשורת מוצפנים. PXA Stealer מהווה דוגמה מצוינת לאופן שבו גורמי איום מתאימים את הכלים והמסחר שלהם כדי להישאר צעד אחד קדימה בגילוי ולמקסם את הרווחים בכלכלת פושעי הסייבר של ימינו.

מגמות

אימות נכשל - הונאת דוא"ל

פישינג, ספאם
הונאות מקוונות מתפתחות במהירות, וקמפיינים של פישינג נותרו אחת הטקטיקות הנפוצות ביותר בהן משתמשים פושעי סייבר. בין אלה, הונאת אימייל נכשלה (Authentication Failed Email Scam) היא קמפיין הונאה שנועד להערים על נמענים ולגרום להם לחשוף מידע רגיש. הודעות דוא"ל אלה אינן קשורות לחברות, ארגונים או ספקי שירותים לגיטימיים, למרות שהן נראות משכנעות ודחופות. כיצד פועלת ההונאה ההונאה מתחילה באימייל מזויף הטוען...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
36,111
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...