PXA vagysčių atakų kampanijos
Kibernetinio saugumo tyrėjai skelbia pavojų dėl naujo kampanijų, reklamuojančių „PXA Stealer“ – „Python“ pagrindu sukurtą kenkėjišką programą, specialiai sukurtą jautriems vartotojų duomenims rinkti, skaičiaus. Ši sudėtinga informacijos vagystė priskiriama vietnamiečių kalba kalbančių kibernetinių nusikaltėlių grupei, kuri ją išnaudoja prenumeratos pagrindu veikiančioje pogrindinėje ekosistemoje. Šią kampaniją išskiria integracija su „Telegram“ API, leidžianti pavogtus duomenis greitai gauti pinigų, perparduoti ir pakartotinai naudoti su minimaliu žmogaus įsikišimu.
Turinys
Plačiai paplitusios infekcijos ir nerimą keliančios duomenų vagystės
„PXA Stealer“ aprėptis plati. Pavojinga daugiau nei 4000 unikalių IP adresų 62 šalyse. Aukų regionai yra Jungtinės Valstijos, Pietų Korėja, Nyderlandai, Vengrija ir Austrija.
Pavogtų duomenų mastas yra reikšmingas:
- Daugiau nei 200 000 unikalių slaptažodžių
- Šimtai kredito kortelių įrašų
- Daugiau nei 4 milijonai naršyklės slapukų
Iš pradžių 2024 m. lapkritį pastebėtos „PXA Stealer“ kampanijos buvo nukreiptos į vyriausybines ir švietimo įstaigas Europoje ir Azijoje. Nuo to laiko sistema vystėsi ir ėmė rinkti įvairius duomenis, įskaitant:
- Slaptažodžiai ir automatinio pildymo duomenys iš naršyklių
- Kriptovaliutų piniginės prisijungimo duomenys
- VPN kliento konfigūracijos
- Informacija iš debesies CLI įrankių ir „Discord“
- Prijungtos tinklo akcijos ir finansinės platformos
Telegrama: operacijos nervų centras
Išfiltruoti duomenys nukreipiami per „Telegram“ kanalus, kur jie saugomi ir stebimi. „PXA Stealer“ naudoja robotų ID (TOKEN_BOT), kad susietų robotus su atitinkamais pokalbių ID (CHAT_ID) – šie kanalai veikia kaip pavogtos informacijos saugyklos ir yra grėsmių veikėjų pranešimų komunikacijos centras.
Šie pavogti duomenys perduodami į neteisėtas platformas, tokias kaip „Sherlock“ – prekyvietė, prekiaujanti vagysčių žurnalais. Čia kiti kibernetiniai nusikaltėliai gali įsigyti duomenis, kad galėtų vykdyti kriptovaliutų vagystes arba įsiskverbti į įmonių tinklus, taip prisidėdami prie sparčiai augančios kibernetinių nusikaltėlių tiekimo grandinės.
Pažangi prekybos amatai ir vengimo taktika
Naujausios 2025 m. kampanijos parodė didelę techninę pažangą. Operatoriai dabar naudoja DLL šoninio įkėlimo metodus ir daugiasluoksnes inscenizacijos strategijas, kad išvengtų aptikimo ir trukdytų teismo ekspertizei. Apgaulingas atakų grandinės posūkis yra masalo dokumento, pvz., netikro autorių teisių pažeidimo pranešimo, rodymas, o kenkėjiškos operacijos tyliai vyksta fone.
Vienas reikšmingiausių naujesnių „PXA Stealer“ variantų patobulinimų yra galimybė išgauti užšifruotus slapukus iš „Chromium“ pagrindu sukurtų naršyklių. Tai daroma įterpiant DLL į aktyvius procesus, efektyviai apeinant programos lygio šifravimo apsaugą.
Pagrindiniai operacijos metodai
Kampanija demonstruoja keletą apibrėžiančių taktikų:
Apsaugos nuo analizės priemonės : skirtos atidėti aptikimą ir sužlugdyti atvirkštinės inžinerijos pastangas.
Laipsniškas naudingosios apkrovos pristatymas : sudėtingos užkrėtimo grandinės, naudojant šoniniu būdu įkeltas DLL rinkmenas.
Masalas : nekenksmingi failai, naudojami kenkėjiškai veiklai užmaskuoti.
„Telegram“ pagrindu sukurta C2 infrastruktūra : sustiprintas ryšio kanalas, naudojamas vadovavimui, kontrolei ir duomenų išgavimui.
Platesnis vaizdas: auganti požeminė rinka
Tai, kas prasidėjo kaip „Python“ kodo vagystė, dabar išaugo į brandžią, daugiapakopę kibernetinę operaciją. Pažangi ne tik kenkėjiška programa, bet ir ją supanti ekosistema, pavyzdžiui, „Telegram“ pagrindu sukurtos prekyvietės, automatizuoti duomenų perpardavimo kanalai ir organizuoti pajamų gavimo kanalai.
Šie pokyčiai rodo, kaip šiuolaikiniai kibernetiniai nusikaltimai tapo lankstesni, lengviau pritaikomi ir glaudžiai susiję su šifruoto ryšio įrankiais. „PXA Stealer“ yra puikus pavyzdys, kaip kibernetinių nusikaltimų kūrėjai pritaiko savo įrankius ir prekybą, kad būtų kuo aktyvesni ir kuo labiau padidintų pelną šiuolaikinėje kibernetinių nusikaltimų ekonomikoje.
