Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware PXA tolvaj támadási kampányok

PXA tolvaj támadási kampányok

Mezo -ra Malware, Lopók-ben
Fordítás ide:

Kiberbiztonsági kutatók riadót kongatnak a PXA Stealer nevű, kifejezetten érzékeny felhasználói adatok gyűjtésére tervezett Python-alapú rosszindulatú program elleni kampányok új hulláma miatt. Ezt a kifinomult információlopót vietnami anyanyelvű kiberbűnözők egy csoportjához kötik, akik egy előfizetésen alapuló földalatti ökoszisztémában használják ki. Ami megkülönbözteti ezt a kampányt, az a Telegram API-kkal való integrációja, amely lehetővé teszi az ellopott adatok gyors pénzzé tételét, viszonteladását és újrafelhasználását minimális emberi beavatkozással.

Széles körben elterjedt fertőzések és riasztó adatlopás

A PXA Stealer hatóköre kiterjedt. Több mint 4000 egyedi IP-cím került veszélybe 62 országban. Az áldozatok közé tartozik az Egyesült Államok, Dél-Korea, Hollandia, Magyarország és Ausztria.

Az ellopott adatok mértéke jelentős:

  • Több mint 200 000 egyedi jelszó
  • Több száz hitelkártya-rekord
  • Több mint 4 millió böngésző süti

A PXA Stealer kampányait először 2024 novemberében észlelték, és azok célpontjai európai és ázsiai kormányzati és oktatási intézmények voltak. Azóta a rendszer mára széles körű adatok kinyerésére is alkalmas, beleértve a következőket:

  • Jelszavak és automatikus kitöltési adatok böngészőkből
  • Kriptovaluta pénztárca hitelesítő adatok
  • VPN kliens konfigurációk
  • Információk a felhőalapú parancssori eszközökből és a Discordból
  • Összekapcsolt hálózati megosztások és pénzügyi platformok

Telegram: A műtét idegközpontja

A kiszivárgott adatokat Telegram csatornákon keresztül továbbítják, ahol tárolják és figyelik azokat. A PXA Stealer botazonosítókat (TOKEN_BOT) használ a botok és a hozzájuk tartozó ChatID-k (CHAT_ID) összekapcsolására – ezek a csatornák tárházként szolgálnak az ellopott információk számára, és kommunikációs központként szolgálnak a fenyegetéseket kezelő szereplők értesítéseihez.

Ezeket az ellopott adatokat illegális platformokra, például a Sherlockra, egy lopási naplókkal foglalkozó piactérre irányítják. Itt más kiberbűnözők megvásárolhatják az adatokat kriptovaluta-rablások végrehajtásához vagy vállalati hálózatokba való behatoláshoz, amivel egy gyorsan növekvő kiberbűnözői ellátási láncot táplálnak.

Fejlett kereskedelmi és kitérési taktikák

A 2025-ös kampányok jelentős technikai fejlődést mutattak. Az operátorok ma már DLL oldalra töltési technikákat és többrétegű előkészítési stratégiákat alkalmaznak az észlelés elkerülése és a kriminalisztikai elemzés akadályozása érdekében. A támadási lánc megtévesztő csavarja egy csali dokumentum, például egy hamis szerzői jogsértési értesítés megjelenítése, miközben a rosszindulatú műveletek csendben zajlanak a háttérben.

A PXA Stealer újabb változatainak egyik legjelentősebb fejlesztése a titkosított sütik kinyerésének képessége a Chromium-alapú böngészőkből. Ezt egy DLL aktív folyamatokba történő befecskendezésével teszi, hatékonyan megkerülve az alkalmazásszintű titkosítási védelmet.

A művelet mögött álló kulcsfontosságú technikák

A kampány számos meghatározó taktikát mutat be:

Elemzés elleni védelem : Úgy tervezték, hogy késleltesse az észlelést és meghiúsítsa a visszafejtési erőfeszítéseket.

Szakaszos hasznos teher kézbesítés : Komplex fertőzési láncok oldalról betöltött DLL-ek használatával.

Csali tartalom : Nem rosszindulatú fájlok, amelyeket rosszindulatú tevékenységek elrejtésére használnak.

Telegram-alapú C2 infrastruktúra : Megerősített kommunikációs csővezeték parancsnoksághoz, vezérléshez és adatkiszivárgáshoz.

A nagyobb kép: Egy növekvő földalatti piac

Ami egy Python-alapú adatlopásként indult, mára egy érett, többlépcsős kiberműveletté nőtte ki magát. Nem csak a rosszindulatú program fejlett, hanem a körülötte lévő ökoszisztéma is, mint például a Telegram-alapú piacterek, az automatizált adat-továbbértékesítési csatornák és a szervezett bevételszerzési csatornák.

Ezek a fejlemények rávilágítanak arra, hogy a modern kiberbűnözés hogyan vált agilisabbá, skálázhatóbbá és mélyen összefonódóvá a titkosított kommunikációs eszközökkel. A PXA Stealer kiváló példa arra, hogy a fenyegetések elkövetői hogyan alakítják át eszközeiket és kereskedelmüket, hogy megelőzzék a felderítést és maximalizálják a profitot a mai kiberbűnözői gazdaságban.

Felkapott

Sikertelen ellenőrzéssel kapcsolatos e-mailes átverés

Adathalászat, Spam
Az online csalások gyorsan fejlődnek, és az adathalász kampányok továbbra is az egyik leggyakoribb taktika, amelyet a kiberbűnözők használnak. Ezek közül az „E-mail ellenőrzés sikertelen” átverés egy olyan csalárd kampány, amelynek célja, hogy a címzetteket bizalmas információk kiszivárogtatására kényszerítse. Ezek az e-mailek nem kapcsolódnak semmilyen legitim vállalathoz, szervezethez vagy...

Legnézettebb

Betöltés...