PXA Stealer Attack-kampanjer
Forskere innen nettsikkerhet slår alarm over en ny bølge av kampanjer som promoterer PXA Stealer, en Python-basert skadevare spesielt utviklet for å samle sensitive brukerdata. Denne sofistikerte informasjonstyveren tilskrives en gruppe vietnamesisktalende nettkriminelle, som utnytter den i et abonnementsbasert undergrunnsøkosystem. Det som skiller denne kampanjen fra andre er integrasjonen med Telegram API-er, som gjør at stjålne data raskt kan tjene penger, videreselges og gjenbrukes med minimal menneskelig inngripen.
Innholdsfortegnelse
Utbredte infeksjoner og alarmerende datatyveri
PXA Stealers rekkevidde er omfattende. Mer enn 4000 unike IP-adresser i 62 land har blitt kompromittert. Offerregioner inkluderer USA, Sør-Korea, Nederland, Ungarn og Østerrike.
Omfanget av de stjålne dataene er betydelig:
- Over 200 000 unike passord
- Hundrevis av kredittkortregistreringer
- Mer enn 4 millioner nettleserinformasjonskapsler
PXA Stealer-kampanjer, som opprinnelig ble oppdaget i november 2024, ble sett rettet mot myndigheter og utdanningsinstitusjoner i Europa og Asia. Siden den gang har de utviklet seg til å trekke ut et bredt spekter av data, inkludert:
- Passord og autofylldata fra nettlesere
- Kryptovaluta-lommeboklegitimasjon
- VPN-klientkonfigurasjoner
- Informasjon fra skybaserte CLI-verktøy og Discord
- Tilkoblede nettverksandeler og finansielle plattformer
Telegram: Nervesenteret i operasjonen
Eksfiltrerte data rutes via Telegram-kanaler, hvor de lagres og overvåkes. PXA Stealer bruker BotID-er (TOKEN_BOT) for å koble roboter til deres tilsvarende ChatID-er (CHAT_ID) – disse kanalene fungerer som lagre for stjålet informasjon og fungerer som et kommunikasjonsknutepunkt for varsler om trusselaktører.
Disse stjålne dataene kanaliseres til ulovlige plattformer som Sherlock, en markedsplass som driver med tyverilogger. Her kan andre nettkriminelle kjøpe dataene for å utføre kryptoran eller trenge inn i bedriftsnettverk, og dermed bidra til en raskt voksende forsyningskjede for nettkriminelle.
Avanserte håndverks- og unnvikelsestaktikker
Nylige kampanjer i 2025 har vist bemerkelsesverdige tekniske fremskritt. Operatørene bruker nå DLL-sidelastingsteknikker og flerlags stagingstrategier for å unngå deteksjon og hindre rettsmedisinsk analyse. En villedende vri i angrepskjeden involverer visning av et lokkedokument, for eksempel en falsk melding om brudd på opphavsretten, mens ondsinnede operasjoner foregår stille i bakgrunnen.
Blant de viktigste oppgraderingene i de nyere variantene av PXA Stealer er dens evne til å trekke ut krypterte informasjonskapsler fra Chromium-baserte nettlesere. Dette gjøres ved å injisere en DLL i aktive prosesser, og dermed effektivt omgå krypteringsbeskyttelse på applikasjonsnivå.
Viktige teknikker bak operasjonen
Kampanjen viser frem flere definerende taktikker:
Anti-analyseforsvar : Utviklet for å forsinke deteksjon og frustrere reverse engineering-arbeid.
Trinnvis levering av nyttelast : Komplekse infeksjonskjeder ved bruk av sidelastede DLL-er.
Lokkeinnhold : Ikke-skadelige filer som brukes til å maskere skadelig aktivitet.
Telegram-basert C2-infrastruktur : Forsterket kommunikasjonsrørledning brukt til kommando, kontroll og datautvinning.
Det større bildet: Et voksende undergrunnsmarked
Det som startet som en Python-tyver har nå vokst til en moden, flertrinns cyberoperasjon. Det er ikke bare skadevaren som er avansert, men økosystemet rundt den, som Telegram-baserte markedsplasser, automatiserte datasalgskanaler og organiserte pengegenereringskanaler.
Denne utviklingen fremhever hvordan moderne nettkriminalitet har blitt mer smidig, skalerbar og dypt sammenvevd med krypterte kommunikasjonsverktøy. PXA Stealer står som et godt eksempel på hvordan trusselaktører tilpasser verktøyene og handelen sin for å ligge i forkant av oppdagelse og maksimere profitten i dagens nettkriminelle økonomi.
