Kampanje napada krađe PXA-a
Istraživači kibernetičke sigurnosti upozoravaju na novi porast kampanja koje promoviraju PXA Stealer, zlonamjerni softver temeljen na Pythonu, posebno dizajniran za prikupljanje osjetljivih korisničkih podataka. Ovaj sofisticirani infostealer pripisuje se skupini vijetnamskih kibernetičkih kriminalaca koji ga iskorištavaju unutar podzemnog ekosustava temeljenog na pretplati. Ono što ovu kampanju izdvaja jest integracija s Telegram API-jima, što omogućuje brzu monetizaciju, preprodaju i ponovnu upotrebu ukradenih podataka uz minimalnu ljudsku intervenciju.
Sadržaj
Raširene infekcije i alarmantna krađa podataka
Doseg PXA Stealer-a je opsežan. Više od 4000 jedinstvenih IP adresa u 62 zemlje je kompromitirano. Žrtve uključuju Sjedinjene Američke Države, Južnu Koreju, Nizozemsku, Mađarsku i Austriju.
Razmjeri ukradenih podataka su značajni:
- Preko 200.000 jedinstvenih lozinki
- Stotine zapisa o kreditnim karticama
- Više od 4 milijuna kolačića preglednika
Prvotno uočene u studenom 2024., kampanje PXA Stealer usmjerene su na vladine i obrazovne institucije u Europi i Aziji. Od tada se razvio kako bi izvukao širok raspon podataka, uključujući:
- Lozinke i podaci za automatsko popunjavanje iz preglednika
- Vjerodajnice za kripto novčanik
- Konfiguracije VPN klijenta
- Informacije iz alata za rad u oblaku (Cloud CLI) i Discorda
- Povezane mrežne dijeljene platforme i financijske platforme
Telegram: Živčani centar operacije
Ukradeni podaci usmjeravaju se putem Telegram kanala, gdje se pohranjuju i prate. PXA Stealer koristi BotID-ove (TOKEN_BOT) za povezivanje botova s njihovim odgovarajućim ChatID-ovima (CHAT_ID) - ovi kanali djeluju kao spremišta za ukradene informacije i služe kao komunikacijsko središte za obavijesti o prijetnjama.
Ovi ukradeni podaci usmjeravaju se na ilegalne platforme poput Sherlocka, tržišta koje prodaje zapisnike kradljivaca podataka. Ovdje drugi kibernetički kriminalci mogu kupiti podatke za provođenje kripto pljački ili prodiranje u korporativne mreže, čime se doprinosi brzorastućem lancu opskrbe kibernetičkog kriminala.
Napredne taktike zanatstva i izbjegavanja
Nedavne kampanje u 2025. godini pokazale su značajan tehnički napredak. Operateri sada koriste tehnike bočnog učitavanja DLL-ova i višeslojne strategije postavljanja na čekanje kako bi izbjegli otkrivanje i ometali forenzičku analizu. Varljiv obrat u lancu napada uključuje prikaz dokumenta mamca, poput lažne obavijesti o kršenju autorskih prava, dok se zlonamjerne operacije tiho odvijaju u pozadini.
Među najznačajnijim nadogradnjama u novijim varijantama PXA Stealera je njegova sposobnost izdvajanja šifriranih kolačića iz preglednika temeljenih na Chromiumu. To čini ubrizgavanjem DLL-a u aktivne procese, učinkovito zaobilazeći zaštitu šifriranja na razini aplikacije.
Ključne tehnike iza operacije
Kampanja pokazuje nekoliko definirajućih taktika:
Antianalitički mehanizmi zaštite : Osmišljeni su za odgađanje otkrivanja i sprječavanje napora obrnutog inženjeringa.
Postupna isporuka korisnog tereta : Složeni lanci infekcije korištenjem bočno učitanih DLL-ova.
Mamac : Nezlonamjerne datoteke koje se koriste za maskiranje zlonamjernih aktivnosti.
C2 infrastruktura temeljena na Telegramu : Ojačani komunikacijski cjevovod koji se koristi za zapovijedanje, kontrolu i eksfiltraciju podataka.
Šira slika: Rastuće podzemno tržište
Ono što je započelo kao krađa Pythona sada je preraslo u zrelu, višefaznu kibernetičku operaciju. Nije samo zlonamjerni softver napredan, već i ekosustav koji ga okružuje, poput tržišta temeljenih na Telegramu, automatiziranih kanala za preprodaju podataka i organiziranih kanala za monetizaciju.
Ovi događaji ističu kako je moderni kibernetički kriminal postao agilniji, skalabilniji i duboko isprepleten s alatima za šifriranu komunikaciju. PXA Stealer predstavlja odličan primjer kako akteri prijetnji prilagođavaju svoje alate i trgovinu kako bi ostali ispred otkrivanja i maksimizirali profit u današnjem kibernetičkom kriminalu.
