Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware PXA Stealer-aanvalscampagnes

PXA Stealer-aanvalscampagnes

Tegen Mezo in Malware, Dieven
Vertalen naar:

Cybersecurityonderzoekers luiden de noodklok over een nieuwe golf aan campagnes die PXA Stealer promoten, een op Python gebaseerde malware die specifiek is ontworpen om gevoelige gebruikersgegevens te verzamelen. Deze geavanceerde infostealer wordt toegeschreven aan een groep Vietnameessprekende cybercriminelen die de malware misbruiken binnen een ondergronds ecosysteem op basis van abonnementen. Wat deze campagne onderscheidt, is de integratie met Telegram API's, waardoor gestolen gegevens snel te gelde kunnen worden gemaakt, kunnen worden doorverkocht en hergebruikt met minimale menselijke tussenkomst.

Wijdverbreide infecties en alarmerende gegevensdiefstal

Het bereik van PXA Stealer is enorm. Meer dan 4.000 unieke IP-adressen in 62 landen zijn gehackt. De slachtoffers bevinden zich onder meer in de Verenigde Staten, Zuid-Korea, Nederland, Hongarije en Oostenrijk.

De omvang van de gestolen gegevens is aanzienlijk:

  • Meer dan 200.000 unieke wachtwoorden
  • Honderden creditcardgegevens
  • Meer dan 4 miljoen browsercookies

PXA Stealer-campagnes werden voor het eerst opgemerkt in november 2024 en waren gericht op overheids- en onderwijsinstellingen in Europa en Azië. Sindsdien heeft het zich ontwikkeld tot een platform voor het extraheren van een breed scala aan gegevens, waaronder:

  • Wachtwoorden en automatisch ingevulde gegevens van browsers
  • Inloggegevens voor cryptocurrency-wallet
  • VPN-clientconfiguraties
  • Informatie van cloud CLI-tools en Discord
  • Verbonden netwerkshares en financiële platforms

Telegram: Het zenuwcentrum van de operatie

Geëxfiltreerde gegevens worden via Telegram-kanalen verzonden, waar ze worden opgeslagen en bewaakt. PXA Stealer gebruikt BotID's (TOKEN_BOT) om bots te koppelen aan hun bijbehorende ChatID's (CHAT_ID). Deze kanalen fungeren als opslagplaatsen voor gestolen informatie en als communicatiehub voor meldingen van dreigingsactoren.

Deze gestolen gegevens worden doorgesluisd naar illegale platforms zoals Sherlock, een marktplaats voor stealer logs. Hier kunnen andere cybercriminelen de gegevens kopen om crypto-overvallen uit te voeren of bedrijfsnetwerken binnen te dringen, wat bijdraagt aan een snelgroeiende toeleveringsketen voor cybercriminelen.

Geavanceerde handels- en ontwijkingstechnieken

Recente campagnes in 2025 hebben een opmerkelijke technische vooruitgang laten zien. De operators gebruiken nu DLL sideloading-technieken en meerlaagse stagingstrategieën om detectie te voorkomen en forensische analyse te belemmeren. Een misleidende wending in de aanvalsketen is de weergave van een lokdocument, zoals een valse kennisgeving van auteursrechtschending, terwijl kwaadaardige activiteiten onopgemerkt op de achtergrond plaatsvinden.

Een van de belangrijkste verbeteringen in de nieuwere varianten van PXA Stealer is de mogelijkheid om versleutelde cookies uit Chromium-gebaseerde browsers te extraheren. Dit gebeurt door een DLL in actieve processen te injecteren, waardoor versleutelingsbeveiligingen op applicatieniveau effectief worden omzeild.

Belangrijkste technieken achter de operatie

De campagne vertoont verschillende bepalende tactieken:

Anti-analyseverdediging : ontworpen om detectie te vertragen en reverse engineering-inspanningen te frustreren.

Gefaseerde levering van payloads : complexe infectieketens met behulp van side-loaded DLL's.

Lokinhoud : niet-kwaadaardige bestanden die worden gebruikt om schadelijke activiteiten te maskeren.

Op Telegram gebaseerde C2-infrastructuur : versterkte communicatiepijplijn voor commando, controle en data-exfiltratie.

Het grotere plaatje: een groeiende ondergrondse markt

Wat begon als een Python-stealer is inmiddels uitgegroeid tot een volwassen, meerfasige cyberoperatie. Niet alleen de malware is geavanceerd, maar ook het ecosysteem eromheen, zoals Telegram-gebaseerde marktplaatsen, geautomatiseerde kanalen voor datadoorverkoop en georganiseerde verdienmodellen.

Deze ontwikkelingen benadrukken hoe moderne cybercriminaliteit wendbaarder, schaalbaarder en nauw verweven is geraakt met versleutelde communicatiemiddelen. PXA Stealer is een goed voorbeeld van hoe cybercriminelen hun tools en handel aanpassen om detectie voor te blijven en hun winst te maximaliseren in de huidige cybercriminele economie.

Trending

Meest bekeken

Bezig met laden...