Kampane s útokmi PXA Stealer

Výskumníci v oblasti kybernetickej bezpečnosti bijú na poplach v súvislosti s novým nárastom kampaní propagujúcich PXA Stealer, malvér založený na jazyku Python, ktorý je špeciálne navrhnutý na zhromažďovanie citlivých používateľských údajov. Tento sofistikovaný informačný zlodej sa pripisuje skupine vietnamsky hovoriacich kyberzločincov, ktorí ho zneužívajú v rámci podzemného ekosystému založeného na predplatnom. Túto kampaň odlišuje integrácia s rozhraniami API služby Telegram, ktorá umožňuje rýchle speňažovanie, ďalší predaj a opätovné použitie ukradnutých údajov s minimálnym ľudským zásahom.

Rozšírené infekcie a alarmujúce krádeže údajov

Dosah PXA Stealer je rozsiahly. Bolo napadnutých viac ako 4 000 unikátnych IP adries v 62 krajinách. Medzi regióny, kde sa stal obeťou, patria Spojené štáty, Južná Kórea, Holandsko, Maďarsko a Rakúsko.

Rozsah ukradnutých údajov je značný:

• Viac ako 200 000 jedinečných hesiel
• Stovky záznamov o kreditných kartách
• Viac ako 4 milióny súborov cookie prehliadača

Kampane PXA Stealer, ktoré boli pôvodne objavené v novembri 2024, boli zamerané na vládne a vzdelávacie inštitúcie v Európe a Ázii. Odvtedy sa vyvinuli do extrakcie širokej škály údajov vrátane:

• Heslá a údaje automatického dopĺňania z prehliadačov
• Prihlasovacie údaje k kryptomenovej peňaženke
• Konfigurácie VPN klienta
• Informácie z cloudových nástrojov CLI a Discordu
• Prepojené sieťové zdieľania a finančné platformy

Telegram: Nervové centrum operácie

Ukradnuté dáta sú smerované cez telegramové kanály, kde sú ukladané a monitorované. PXA Stealer používa BotID (TOKEN_BOT) na prepojenie botov s ich zodpovedajúcimi ChatID (CHAT_ID) – tieto kanály fungujú ako úložiská ukradnutých informácií a slúžia ako komunikačné centrum pre upozornenia aktérov hrozbami.

Tieto ukradnuté údaje sa presúvajú na nelegálne platformy, ako je Sherlock, trhovisko obchodujúce s protokolmi kradnúcich dát. Tu si iní kyberzločinci môžu kúpiť údaje na vykonávanie krypto lúpeží alebo preniknúť do firemných sietí, čím sa zapájajú do rýchlo rastúceho dodávateľského reťazca kyberzločincov.

Pokročilé obchodné remeslo a taktiky úniku

Nedávne kampane v roku 2025 preukázali pozoruhodný technický pokrok. Operátori teraz používajú techniky bočného načítavania DLL a viacvrstvové stratégie stagingového spracovania, aby sa vyhli odhaleniu a sťažili forenznú analýzu. Klamlivý zvrat v reťazci útokov zahŕňa zobrazenie návnadového dokumentu, ako je napríklad falošné oznámenie o porušení autorských práv, zatiaľ čo škodlivé operácie prebiehajú potichu v pozadí.

Medzi najvýznamnejšie vylepšenia v novších variantoch PXA Stealer patrí jeho schopnosť extrahovať šifrované súbory cookie z prehliadačov založených na prehliadači Chromium. Robí to vložením knižnice DLL do aktívnych procesov, čím efektívne obchádza ochranu šifrovania na úrovni aplikácie.

Kľúčové techniky operácie

Kampaň sa vyznačuje niekoľkými charakteristickými taktikami:

Ochrana proti analýze : Navrhnutá tak, aby oddialila detekciu a zmarila úsilie o reverzné inžinierstvo.

Postupné doručovanie užitočného zaťaženia : Komplexné infekčné reťazce s použitím bočne načítaných DLL.

Návnadový obsah : Neškodné súbory používané na maskovanie škodlivej aktivity.

Infraštruktúra C2 založená na telegrame : Zosilnený komunikačný kanál používaný na velenie, riadenie a exfiltráciu údajov.

Širší obraz: Rastúci podzemný trh

Čo sa začalo ako krádež Pythonu, sa rozrástlo do zrelej, viacstupňovej kybernetickej operácie. Nie je to len pokročilý malvér, ale aj ekosystém, ktorý ho obklopuje, ako sú trhoviská založené na Telegrame, automatizované kanály na ďalší predaj dát a organizované monetizačné kanály.

Tento vývoj zdôrazňuje, ako sa moderná kybernetická kriminalita stala agilnejšou, škálovateľnejšou a hlboko prepojenou s nástrojmi šifrovanej komunikácie. PXA Stealer je ukážkovým príkladom toho, ako aktéri kyberkriminality prispôsobujú svoje nástroje a obchod, aby zostali pred odhalením a maximalizovali zisky v dnešnej kyberkriminálnej ekonomike.