Скидка на мультилицензию
База данных угроз Вредоносное ПО Кампании по атакам PXA Stealer

Кампании по атакам PXA Stealer

К Mezo году в Вредоносное ПО, Вор году
Перевести на:

Специалисты по кибербезопасности бьют тревогу в связи с новым всплеском кампаний по продвижению PXA Stealer — вредоносного ПО на языке Python, специально разработанного для сбора конфиденциальных данных пользователей. Этот сложный инструмент для кражи информации приписывается группе вьетнамскоязычных киберпреступников, которые используют его в подпольной экосистеме, работающей по подписке. Отличительной особенностью этой кампании является её интеграция с API Telegram, что позволяет быстро монетизировать, перепродавать и повторно использовать украденные данные с минимальным вмешательством человека.

Массовые заражения и тревожная кража данных

Атака PXA Stealer обширна. Было скомпрометировано более 4000 уникальных IP-адресов в 62 странах. Среди пострадавших регионов — США, Южная Корея, Нидерланды, Венгрия и Австрия.

Масштаб украденных данных значителен:

  • Более 200 000 уникальных паролей
  • Сотни записей о кредитных картах
  • Более 4 миллионов файлов cookie браузера

Кампании PXA Stealer, впервые обнаруженные в ноябре 2024 года, были направлены на государственные и образовательные учреждения в Европе и Азии. С тех пор хакерская атака эволюционировала и теперь позволяет извлекать широкий спектр данных, включая:

  • Пароли и данные автозаполнения из браузеров
  • Учетные данные криптовалютного кошелька
  • Конфигурации VPN-клиента
  • Информация из облачных инструментов CLI и Discord
  • Связанные сетевые ресурсы и финансовые платформы

Телеграмма: Нервный центр операции

Извлеченные данные передаются через каналы Telegram, где они хранятся и отслеживаются. PXA Stealer использует BotID (TOKEN_BOT) для связывания ботов с их соответствующими ChatID (CHAT_ID) — эти каналы служат хранилищами украденной информации и коммуникационным узлом для уведомлений злоумышленников.

Украденные данные перенаправляются на нелегальные платформы, такие как Sherlock, торговая площадка, торгующая логами для кражи данных. Здесь другие киберпреступники могут приобретать эти данные для совершения крипто-ограблений или проникновения в корпоративные сети, пополняя быстрорастущую цепочку поставок киберпреступников.

Продвинутые тактики торговли и уклонения

Недавние кампании 2025 года продемонстрировали заметный технический прогресс. Теперь операторы используют методы загрузки DLL-библиотек и многоуровневые стратегии подготовки, чтобы избежать обнаружения и затруднить криминалистический анализ. Обманный ход в цепочке атаки включает отображение поддельного документа, например, поддельного уведомления о нарушении авторских прав, в то время как вредоносные операции незаметно выполняются в фоновом режиме.

Одним из наиболее значительных улучшений новых версий PXA Stealer является возможность извлекать зашифрованные файлы cookie из браузеров на базе Chromium. Это достигается путём внедрения DLL-библиотеки в активные процессы, что позволяет эффективно обходить защиту шифрования на уровне приложений.

Ключевые методы операции

В кампании используется несколько определяющих тактик:

Защита от анализа : разработана для задержки обнаружения и срыва попыток обратного проектирования.

Поэтапная доставка полезной нагрузки : сложные цепочки заражения с использованием загружаемых DLL.

Ложный контент : невредоносные файлы, используемые для маскировки вредоносной активности.

Инфраструктура C2 на базе Telegram : защищенный канал связи, используемый для командования, управления и кражи данных.

Общая картина: растущий подпольный рынок

То, что начиналось как попытка кражи Python, превратилось в масштабную многоэтапную кибероперацию. Развитию подвергается не только вредоносное ПО, но и окружающая его экосистема, включая торговые площадки на базе Telegram, автоматизированные каналы перепродажи данных и организованные каналы монетизации.

Эти разработки демонстрируют, насколько гибкими, масштабируемыми и тесно переплетенными с зашифрованными средствами коммуникации стали современные киберпреступления. PXA Stealer служит ярким примером того, как злоумышленники адаптируют свои инструменты и методы мошенничества, чтобы оставаться на шаг впереди обнаружения и максимизировать прибыль в современной киберкриминальной экономике.

В тренде

Мошенничество с электронным письмом, не прошедшим...

Фишинг, Спам
Онлайн-мошенничество стремительно развивается, и фишинговые кампании остаются одним из самых распространённых приёмов, используемых киберпреступниками. Среди них — мошенническая кампания «Письмо с ошибкой верификации» (Verification Failed Email Scam) — мошенническая кампания, призванная обманным путём заставить получателей раскрыть конфиденциальную информацию. Эти письма не связаны с...

Наиболее просматриваемые

Загрузка...