PXA zagļu uzbrukuma kampaņas
Kiberdrošības pētnieki ceļ trauksmi saistībā ar jaunu kampaņu pieaugumu, kas reklamē PXA Stealer — Python bāzētu ļaunprogrammatūru, kas īpaši izstrādāta sensitīvu lietotāju datu vākšanai. Šo sarežģīto informācijas zagli piedēvē vjetnamiešu valodā runājošu kibernoziedznieku grupai, kas to izmanto abonēšanas sistēmā. Šīs kampaņas īpatnība ir integrācija ar Telegram API, kas ļauj nozagtos datus ātri monetizēt, pārdot tālāk un atkārtoti izmantot ar minimālu cilvēka iejaukšanos.
Satura rādītājs
Plaši izplatītas infekcijas un satraucoša datu zādzība
PXA Stealer darbības joma ir plaša. Ir apdraudētas vairāk nekā 4000 unikālu IP adrešu 62 valstīs. Cietušo reģionu vidū ir Amerikas Savienotās Valstis, Dienvidkoreja, Nīderlande, Ungārija un Austrija.
Nozagto datu apjoms ir ievērojams:
- Vairāk nekā 200 000 unikālu paroļu
- Simtiem kredītkaršu ierakstu
- Vairāk nekā 4 miljoni pārlūkprogrammas sīkfailu
Sākotnēji PXA Stealer kampaņas tika pamanītas 2024. gada novembrī, un to mērķis bija valdības un izglītības iestādes Eiropā un Āzijā. Kopš tā laika tā ir attīstījusies, lai iegūtu plašu datu klāstu, tostarp:
- Paroles un automātiskās aizpildes dati no pārlūkprogrammām
- Kriptovalūtas maka akreditācijas dati
- VPN klienta konfigurācijas
- Informācija no mākoņa CLI rīkiem un Discord
- Savienotas tīkla daļas un finanšu platformas
Telegramma: Operācijas nervu centrs
Nozagtie dati tiek maršrutēti caur Telegram kanāliem, kur tie tiek glabāti un uzraudzīti. PXA Stealer izmanto BotID (TOKEN_BOT), lai saistītu robotprogrammatūras ar to atbilstošajiem ChatID (CHAT_ID) — šie kanāli darbojas kā nozagtās informācijas krātuves un kalpo kā saziņas centrs apdraudējumu dalībnieku paziņojumiem.
Šie nozagtie dati tiek nogādāti nelegālās platformās, piemēram, Sherlock — tirgus platformā, kas nodarbojas ar zagļu žurnālu tirdzniecību. Šeit citi kibernoziedznieki var iegādāties datus, lai veiktu kriptovalūtu laupīšanas vai iekļūtu korporatīvajos tīklos, tādējādi papildinot strauji augošo kibernoziedznieku piegādes ķēdi.
Uzlabota tirdzniecības un izvairīšanās taktika
Jaunākās 2025. gada kampaņas ir demonstrējušas ievērojamu tehnisko progresu. Operatori tagad izmanto DLL sānu ielādes metodes un daudzslāņu izstrādes stratēģijas, lai izvairītos no atklāšanas un kavētu kriminālistisko analīzi. Maldinošs pavērsiens uzbrukuma ķēdē ietver mānoša dokumenta, piemēram, viltota autortiesību pārkāpuma paziņojuma, parādīšanu, kamēr ļaunprātīgas darbības klusi notiek fonā.
Viens no būtiskākajiem PXA Stealer jaunāko variantu uzlabojumiem ir tā spēja iegūt šifrētus sīkfailus no Chromium bāzes pārlūkprogrammām. Tas tiek panākts, aktīvajos procesos ievadot DLL failu, efektīvi apejot lietojumprogrammu līmeņa šifrēšanas aizsardzību.
Galvenās operācijas metodes
Kampaņai ir vairākas raksturīgas taktikas:
Pretanalīzes aizsardzības līdzekļi : paredzēti, lai aizkavētu atklāšanu un kavētu reversās inženierijas centienus.
Pakāpeniska lietderīgās slodzes piegāde : sarežģītas inficēšanas ķēdes, izmantojot sāniski ielādētas DLL.
Mānošs saturs : ļaunprātīgi faili, ko izmanto ļaunprātīgas darbības maskēšanai.
Telegram balstītā C2 infrastruktūra : aizsargāts sakaru cauruļvads, ko izmanto vadībai, kontrolei un datu eksfiltrācijai.
Plašāks skatījums: augošs pazemes tirgus
Tas, kas sākās kā Python zaglis, tagad ir pārtapis par nobriedušu, daudzpakāpju kiberoperāciju. Ne tikai ļaunprogrammatūra ir attīstīta, bet arī apkārtējā ekosistēma, piemēram, Telegram balstīti tirgus platformas, automatizēti datu tālākpārdošanas kanāli un organizētas monetizācijas plūsmas.
Šīs norises izceļ to, kā mūsdienu kibernoziedzība ir kļuvusi elastīgāka, mērogojamāka un cieši saistīta ar šifrētiem saziņas rīkiem. PXA Stealer ir lielisks piemērs tam, kā apdraudējumu izraisītāji pielāgo savus rīkus un tirdzniecību, lai apsteigtu atklāšanu un palielinātu peļņu mūsdienu kibernoziedznieku ekonomikā.
