Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Campanii de atac PXA Stealer

Campanii de atac PXA Stealer

Până în Mezo în Programe malware, Furători
Tradu in:

Cercetătorii în domeniul securității cibernetice trag un semnal de alarmă cu privire la o nouă creștere a campaniilor care promovează PXA Stealer, un malware bazat pe Python, conceput special pentru a colecta date sensibile ale utilizatorilor. Acest malware sofisticat este atribuit unui grup de infractori cibernetici vorbitori de vietnameză, care îl exploatează în cadrul unui ecosistem subteran bazat pe abonamente. Ceea ce diferențiază această campanie este integrarea sa cu API-urile Telegram, permițând monetizarea, revânzarea și reutilizarea rapidă a datelor furate cu o intervenție umană minimă.

Infecții răspândite și furt alarmant de date

Acoperirea PXA Stealer este extinsă. Peste 4.000 de adrese IP unice din 62 de țări au fost compromise. Printre regiunile victime se numără Statele Unite, Coreea de Sud, Olanda, Ungaria și Austria.

Amploarea datelor furate este semnificativă:

  • Peste 200.000 de parole unice
  • Sute de înregistrări ale cardurilor de credit
  • Peste 4 milioane de cookie-uri de browser

Inițial observate în noiembrie 2024, campaniile PXA Stealer au vizat instituții guvernamentale și de învățământ din Europa și Asia. De atunci, a evoluat pentru a extrage o gamă largă de date, inclusiv:

  • Parole și date de completare automată din browsere
  • Acreditări pentru portofelul de criptomonede
  • Configurații client VPN
  • Informații din instrumentele CLI din cloud și Discord
  • Partajări de rețea conectate și platforme financiare

Telegramă: Centrul nervos al operațiunii

Datele exfiltrate sunt rutate prin canalele Telegram, unde sunt stocate și monitorizate. PXA Stealer folosește BotID-uri (TOKEN_BOT) pentru a conecta boții la ChatID-urile corespunzătoare (CHAT_ID) - aceste canale acționează ca depozite pentru informațiile furate și servesc drept centru de comunicare pentru notificările actorilor de amenințare.

Aceste date furate sunt canalizate către platforme ilicite precum Sherlock, o piață care comercializează jurnalele de furt. Aici, alți infractori cibernetici pot achiziționa datele pentru a efectua jafuri criptografice sau pentru a penetra rețelele corporative, alimentând un lanț de aprovizionare al infractorilor cibernetici în creștere rapidă.

Tactici avansate de comerț și evitare

Campaniile recente din 2025 au demonstrat progrese tehnice notabile. Operatorii folosesc acum tehnici de încărcare laterală DLL și strategii de stadializare pe mai multe niveluri pentru a evita detectarea și a împiedica analiza criminalistică. O întorsătură înșelătoare în lanțul de atac implică afișarea unui document capcană, cum ar fi o notificare falsă de încălcare a drepturilor de autor, în timp ce operațiunile rău intenționate se desfășoară în liniște în fundal.

Printre cele mai semnificative îmbunătățiri ale variantelor mai noi ale PXA Stealer se numără capacitatea sa de a extrage cookie-uri criptate din browserele bazate pe Chromium. Acest lucru se realizează prin injectarea unui DLL în procesele active, ocolind efectiv protecțiile de criptare la nivel de aplicație.

Tehnici cheie din spatele operațiunii

Campania prezintă câteva tactici definitorii:

Apărare anti-analiză : Concepute pentru a întârzia detectarea și a frustra eforturile de inginerie inversă.

Livrare etapizată a sarcinii utile : Lanțuri complexe de infecție folosind DLL-uri încărcate lateral.

Conținut capcană : Fișiere nedăunătoare folosite pentru a masca activitatea rău intenționată.

Infrastructură C2 bazată pe Telegram : Conductă de comunicare consolidată utilizată pentru comandă, control și exfiltrare de date.

Imaginea de ansamblu: o piață subterană în creștere

Ceea ce a început ca un atac cibernetic bazat pe Python s-a transformat acum într-o operațiune cibernetică matură, în mai multe etape. Nu doar malware-ul este avansat, ci și ecosistemul din jurul său, cum ar fi piețele bazate pe Telegram, canalele automate de revânzare a datelor și canalele de monetizare organizate.

Aceste evoluții evidențiază modul în care criminalitatea cibernetică modernă a devenit mai agilă, scalabilă și profund interconectată cu instrumentele de comunicare criptate. PXA Stealer reprezintă un exemplu excelent al modului în care actorii cibernetici își adaptează instrumentele și comerțul pentru a rămâne cu un pas înaintea detectării și a maximiza profiturile în economia cibernetică actuală.

Trending

Cele mai văzute

Se încarcă...