Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Kampanie ataku PXA Stealer

Kampanie ataku PXA Stealer

Do Mezo w Złośliwe oprogramowanie, Złodzieje
Przetłumacz na:

Badacze cyberbezpieczeństwa biją na alarm w związku z nową falą kampanii promujących PXA Stealer, złośliwe oprogramowanie oparte na Pythonie, zaprojektowane specjalnie do zbierania poufnych danych użytkowników. Ten zaawansowany program do kradzieży informacji jest przypisywany grupie wietnamskojęzycznych cyberprzestępców, którzy wykorzystują go w podziemnym ekosystemie opartym na subskrypcji. Cechą wyróżniającą tę kampanię jest integracja z interfejsami API Telegrama, umożliwiająca szybką monetyzację, odsprzedaż i ponowne wykorzystanie skradzionych danych przy minimalnej ingerencji człowieka.

Szeroko rozpowszechnione infekcje i alarmująca kradzież danych

Zasięg PXA Stealer jest ogromny. Ponad 4000 unikalnych adresów IP w 62 krajach zostało naruszonych. Regiony, w których atak się rozpoczął, to Stany Zjednoczone, Korea Południowa, Holandia, Węgry i Austria.

Skala skradzionych danych jest znacząca:

  • Ponad 200 000 unikalnych haseł
  • Setki rekordów kart kredytowych
  • Ponad 4 miliony plików cookie przeglądarki

Kampanie PXA Stealer, po raz pierwszy zauważone w listopadzie 2024 roku, były wymierzone w instytucje rządowe i edukacyjne w Europie i Azji. Od tego czasu ewoluowały, aby wyodrębnić szeroki zakres danych, w tym:

  • Hasła i dane autouzupełniania z przeglądarek
  • Dane uwierzytelniające portfela kryptowalutowego
  • Konfiguracje klienta VPN
  • Informacje z narzędzi CLI w chmurze i Discord
  • Połączone udziały sieciowe i platformy finansowe

Telegram: Centrum nerwowe operacji

Wykradzione dane są przesyłane kanałami Telegram, gdzie są przechowywane i monitorowane. PXA Stealer wykorzystuje identyfikatory botów (TOKEN_BOT) do łączenia botów z odpowiadającymi im identyfikatorami czatów (CHAT_ID) – kanały te pełnią funkcję repozytoriów skradzionych informacji i służą jako centrum komunikacji dla powiadomień od podmiotów stanowiących zagrożenie.

Skradzione dane trafiają na nielegalne platformy, takie jak Sherlock, platforma handlowa, na której gromadzone są logi kradzieży. Inni cyberprzestępcy mogą tam nabyć te dane, aby przeprowadzać ataki kryptograficzne lub penetrować sieci korporacyjne, zasilając szybko rozwijający się łańcuch dostaw cyberprzestępców.

Zaawansowane techniki handlowe i taktyki unikania

Ostatnie kampanie w 2025 roku wykazały znaczący postęp techniczny. Operatorzy stosują obecnie techniki bocznego ładowania bibliotek DLL i wielowarstwowe strategie stagingu, aby uniknąć wykrycia i utrudnić analizę kryminalistyczną. Zwodniczy zwrot akcji w łańcuchu ataku polega na wyświetlaniu dokumentu-przynęty, takiego jak fałszywe powiadomienie o naruszeniu praw autorskich, podczas gdy złośliwe operacje przebiegają dyskretnie w tle.

Jedną z najważniejszych ulepszeń w nowszych wersjach PXA Stealer jest możliwość wyodrębniania zaszyfrowanych plików cookie z przeglądarek opartych na Chromium. Odbywa się to poprzez wstrzykiwanie biblioteki DLL do aktywnych procesów, skutecznie omijając zabezpieczenia szyfrujące na poziomie aplikacji.

Kluczowe techniki operacji

Kampania charakteryzuje się kilkoma charakterystycznymi taktykami:

Obrona przed analizą : zaprojektowana w celu opóźnienia wykrycia i udaremnienia prób inżynierii wstecznej.

Dostarczanie ładunku etapami : złożone łańcuchy infekcji wykorzystujące boczne ładowanie bibliotek DLL.

Zawartość wabiąca : pliki niezłośliwe, służące do maskowania złośliwej aktywności.

Infrastruktura C2 oparta na telegramach : Wzmocniony kanał komunikacyjny służący do wydawania poleceń, kontroli i eksfiltracji danych.

Szerszy obraz: Rozwijający się rynek podziemny

To, co zaczęło się jako kradzież Pythona, przerodziło się w dojrzałą, wieloetapową operację cybernetyczną. Zaawansowane jest nie tylko samo złośliwe oprogramowanie, ale także otaczający je ekosystem, taki jak platformy handlowe oparte na Telegramie, zautomatyzowane kanały odsprzedaży danych i zorganizowane kanały monetyzacji.

Te zmiany pokazują, jak współczesna cyberprzestępczość stała się bardziej elastyczna, skalowalna i silnie powiązana z narzędziami szyfrowanej komunikacji. PXA Stealer jest doskonałym przykładem tego, jak cyberprzestępcy dostosowują swoje narzędzia i metody działania, aby wyprzedzać wykrycia i maksymalizować zyski w dzisiejszej cyberprzestępczej gospodarce.

Popularne

Oszustwo e-mailowe z informacją o nieudanej weryfikacji

Phishing, Spam
Oszustwa internetowe ewoluują w szybkim tempie, a kampanie phishingowe pozostają jedną z najczęstszych taktyk stosowanych przez cyberprzestępców. Jednym z nich jest oszustwo „Verification Failed Email Scam”, mające na celu nakłonienie odbiorców do ujawnienia poufnych informacji. Te wiadomości e-mail nie są powiązane z żadnymi legalnymi firmami, organizacjami ani dostawcami usług, mimo że wydają...

Najczęściej oglądane

Ładowanie...