PXA चोर हमला अभियान

साइबर सुरक्षा शोधकर्ता PXA स्टीलर नामक एक पायथन-आधारित मैलवेयर को बढ़ावा देने वाले अभियानों में नई वृद्धि को लेकर चिंता जता रहे हैं, जिसे विशेष रूप से संवेदनशील उपयोगकर्ता डेटा चुराने के लिए डिज़ाइन किया गया है। इस परिष्कृत जानकारी चुराने वाले को वियतनामी भाषी साइबर अपराधियों के एक समूह द्वारा संचालित किया जाता है, जो सब्सक्रिप्शन-आधारित भूमिगत पारिस्थितिकी तंत्र के भीतर इसका शोषण करते हैं। इस अभियान की ख़ासियत इसका टेलीग्राम एपीआई के साथ एकीकरण है, जिससे चुराए गए डेटा को न्यूनतम मानवीय हस्तक्षेप के साथ तेज़ी से मुद्रीकृत, पुनर्विक्रय और पुन: उपयोग किया जा सकता है।

व्यापक संक्रमण और खतरनाक डेटा चोरी

PXA स्टीलर की पहुँच बहुत व्यापक है। 62 देशों के 4,000 से ज़्यादा विशिष्ट IP पतों पर हमला किया गया है। पीड़ित क्षेत्रों में संयुक्त राज्य अमेरिका, दक्षिण कोरिया, नीदरलैंड, हंगरी और ऑस्ट्रिया शामिल हैं।

चुराए गए डेटा का पैमाना महत्वपूर्ण है:

• 200,000 से अधिक अद्वितीय पासवर्ड
• सैकड़ों क्रेडिट कार्ड रिकॉर्ड
• 4 मिलियन से अधिक ब्राउज़र कुकीज़

नवंबर 2024 में शुरू हुए PXA स्टीलर अभियानों को यूरोप और एशिया के सरकारी और शैक्षणिक संस्थानों को निशाना बनाते हुए देखा गया था। तब से, यह कई तरह के डेटा निकालने के लिए विकसित हुआ है, जिनमें शामिल हैं:

• ब्राउज़र से पासवर्ड और स्वतः भरण डेटा
• क्रिप्टोकरेंसी वॉलेट क्रेडेंशियल
• VPN क्लाइंट कॉन्फ़िगरेशन
• क्लाउड CLI टूल्स और डिस्कॉर्ड से जानकारी
• कनेक्टेड नेटवर्क शेयर और वित्तीय प्लेटफ़ॉर्म

टेलीग्राम: ऑपरेशन का तंत्रिका केंद्र

चुराया गया डेटा टेलीग्राम चैनलों के ज़रिए भेजा जाता है, जहाँ इसे संग्रहीत और मॉनिटर किया जाता है। PXA स्टीलर, बॉट्स को उनकी संबंधित चैटआईडी (CHAT_ID) से जोड़ने के लिए बॉटआईडी (TOKEN_BOT) का इस्तेमाल करता है—ये चैनल चुराई गई जानकारी के भंडार के रूप में काम करते हैं और ख़तरा पैदा करने वाले सूचनाओं के लिए संचार केंद्र का काम करते हैं।

इस चुराए गए डेटा को शेरलॉक जैसे अवैध प्लेटफ़ॉर्म पर पहुँचाया जाता है, जो चोरी के रिकॉर्ड बेचने वाला एक बाज़ार है। यहाँ, अन्य साइबर अपराधी क्रिप्टो चोरी करने या कॉर्पोरेट नेटवर्क में सेंध लगाने के लिए डेटा खरीद सकते हैं, जिससे तेज़ी से बढ़ती साइबर अपराधियों की आपूर्ति श्रृंखला में मदद मिलती है।

उन्नत व्यापार शिल्प और चोरी की रणनीति

2025 में हाल के अभियानों ने उल्लेखनीय तकनीकी प्रगति प्रदर्शित की है। ऑपरेटर अब पता लगाने से बचने और फोरेंसिक विश्लेषण में बाधा डालने के लिए DLL साइड-लोडिंग तकनीकों और बहु-स्तरीय स्टेजिंग रणनीतियों का उपयोग करते हैं। हमले की श्रृंखला में एक भ्रामक मोड़ एक फ़र्ज़ी दस्तावेज़, जैसे कि एक नकली कॉपीराइट उल्लंघन नोटिस, का प्रदर्शन है, जबकि दुर्भावनापूर्ण गतिविधियाँ पृष्ठभूमि में चुपचाप चलती रहती हैं।

PXA स्टीलर के नए संस्करणों में सबसे महत्वपूर्ण अपग्रेडों में से एक क्रोमियम-आधारित ब्राउज़रों से एन्क्रिप्टेड कुकीज़ निकालने की इसकी क्षमता है। यह सक्रिय प्रक्रियाओं में एक DLL इंजेक्ट करके ऐसा करता है, जिससे एप्लिकेशन-स्तरीय एन्क्रिप्शन सुरक्षा को प्रभावी ढंग से दरकिनार कर दिया जाता है।

ऑपरेशन के पीछे की प्रमुख तकनीकें

इस अभियान में कई परिभाषित रणनीतियाँ प्रदर्शित की गयीं:

विश्लेषण-विरोधी सुरक्षा : पता लगाने में देरी करने और रिवर्स इंजीनियरिंग प्रयासों को विफल करने के लिए डिज़ाइन किया गया।

चरणबद्ध पेलोड वितरण : साइड-लोडेड DLL का उपयोग करके जटिल संक्रमण श्रृंखलाएं।

छद्म सामग्री : दुर्भावनापूर्ण गतिविधि को छिपाने के लिए उपयोग की जाने वाली गैर-दुर्भावनापूर्ण फ़ाइलें।

टेलीग्राम-आधारित C2 अवसंरचना : कमांड, नियंत्रण और डेटा निष्कासन के लिए उपयोग की जाने वाली कठोर संचार पाइपलाइन।

बड़ी तस्वीर: बढ़ता भूमिगत बाज़ार

जो शुरुआत में एक पायथन चोर के रूप में हुआ था, वह अब एक परिपक्व, बहु-स्तरीय साइबर ऑपरेशन में बदल गया है। इसमें सिर्फ़ मैलवेयर ही नहीं, बल्कि उसके आसपास का पारिस्थितिकी तंत्र भी शामिल है, जैसे टेलीग्राम-आधारित बाज़ार, स्वचालित डेटा पुनर्विक्रय चैनल और संगठित मुद्रीकरण पाइपलाइनें।

ये घटनाक्रम इस बात पर प्रकाश डालते हैं कि आधुनिक साइबर अपराध कैसे अधिक चुस्त, मापनीय और एन्क्रिप्टेड संचार उपकरणों के साथ गहराई से जुड़ा हुआ हो गया है। पीएक्सए स्टीलर इस बात का एक प्रमुख उदाहरण है कि कैसे ख़तरा पैदा करने वाले लोग आज की साइबर अपराध अर्थव्यवस्था में पहचान से आगे रहने और अधिकतम लाभ कमाने के लिए अपने उपकरणों और व्यापार को अनुकूलित कर रहे हैं।