Campagne di attacco stealer PXA
I ricercatori di sicurezza informatica lanciano l'allarme per una nuova ondata di campagne che promuovono PXA Stealer, un malware basato su Python specificamente progettato per raccogliere dati sensibili degli utenti. Questo sofisticato infostealer è attribuito a un gruppo di criminali informatici di lingua vietnamita, che lo sfruttano all'interno di un ecosistema underground basato su abbonamento. Ciò che distingue questa campagna è la sua integrazione con le API di Telegram, che consente di monetizzare, rivendere e riutilizzare rapidamente i dati rubati con un intervento umano minimo.
Sommario
Infezioni diffuse e furto di dati allarmante
La portata di PXA Stealer è ampia. Sono stati compromessi oltre 4.000 indirizzi IP univoci in 62 paesi. Tra le aree geografiche colpite figurano Stati Uniti, Corea del Sud, Paesi Bassi, Ungheria e Austria.
La portata dei dati rubati è significativa:
- Oltre 200.000 password univoche
- Centinaia di registrazioni di carte di credito
- Oltre 4 milioni di cookie del browser
Individuate inizialmente nel novembre 2024, le campagne PXA Stealer hanno preso di mira istituzioni governative e scolastiche in Europa e Asia. Da allora, si sono evolute per estrarre un'ampia gamma di dati, tra cui:
- Password e dati di compilazione automatica dai browser
- Credenziali del portafoglio di criptovaluta
- Configurazioni del client VPN
- Informazioni dagli strumenti CLI cloud e Discord
- Condivisioni di reti connesse e piattaforme finanziarie
Telegram: il centro nevralgico dell’operazione
I dati esfiltrati vengono instradati tramite i canali Telegram, dove vengono archiviati e monitorati. PXA Stealer utilizza i BotID (TOKEN_BOT) per collegare i bot ai rispettivi ChatID (CHAT_ID): questi canali fungono da repository per le informazioni rubate e da hub di comunicazione per le notifiche degli autori delle minacce.
Questi dati rubati vengono convogliati su piattaforme illecite come Sherlock, un mercato che tratta log di ladri. Qui, altri criminali informatici possono acquistare i dati per condurre furti di criptovalute o penetrare nelle reti aziendali, alimentando una catena di approvvigionamento in rapida crescita per la criminalità informatica.
Tecniche di commercio e tattiche di evasione avanzate
Le recenti campagne del 2025 hanno dimostrato notevoli progressi tecnici. Gli operatori ora impiegano tecniche di caricamento laterale delle DLL e strategie di staging multilivello per eludere il rilevamento e ostacolare l'analisi forense. Un aspetto ingannevole nella catena di attacco prevede la visualizzazione di un documento esca, come un falso avviso di violazione del copyright, mentre le operazioni dannose procedono silenziosamente in background.
Tra gli aggiornamenti più significativi delle nuove varianti di PXA Stealer c'è la capacità di estrarre cookie crittografati dai browser basati su Chromium. Lo fa iniettando una DLL nei processi attivi, bypassando di fatto le protezioni crittografiche a livello di applicazione.
Tecniche chiave alla base dell’operazione
La campagna presenta diverse tattiche distintive:
Difese anti-analisi : progettate per ritardare il rilevamento e vanificare gli sforzi di reverse engineering.
Distribuzione graduale del payload : catene di infezione complesse mediante DLL caricate lateralmente.
Contenuto esca : file non dannosi utilizzati per mascherare attività dannose.
Infrastruttura C2 basata su Telegram : pipeline di comunicazione rafforzata utilizzata per il comando, il controllo e l'esfiltrazione dei dati.
Il quadro generale: un mercato sotterraneo in crescita
Quello che è iniziato come un furto di dati Python è ora diventato un'operazione informatica matura e articolata in più fasi. Non è solo il malware ad essere avanzato, ma anche l'ecosistema che lo circonda, come i marketplace basati su Telegram, i canali di rivendita dati automatizzati e le pipeline di monetizzazione organizzate.
Questi sviluppi evidenziano come la criminalità informatica moderna sia diventata più agile, scalabile e profondamente interconnessa con gli strumenti di comunicazione crittografati. PXA Stealer rappresenta un esempio lampante di come gli autori delle minacce stiano adattando i propri strumenti e la propria attività per anticipare i tentativi di rilevamento e massimizzare i profitti nell'attuale economia criminale informatica.
