Kampanje napada PXA Stealer
Raziskovalci kibernetske varnosti opozarjajo na nov porast kampanj, ki promovirajo PXA Stealer, zlonamerno programsko opremo, ki temelji na Pythonu in je posebej zasnovana za zbiranje občutljivih uporabniških podatkov. Ta prefinjena programska oprema za krajo informacij naj bi bila delo skupine vietnamsko govorečih kibernetskih kriminalcev, ki jo izkoriščajo v naročniškem podzemnem ekosistemu. To kampanjo loči od drugih po integraciji z API-ji Telegrama, kar omogoča hitro monetizacijo, nadaljnjo prodajo in ponovno uporabo ukradenih podatkov z minimalnim človeškim posredovanjem.
Kazalo
Razširjene okužbe in zaskrbljujoča kraje podatkov
Doseg PXA Stealerja je obsežen. Ogroženih je bilo več kot 4000 edinstvenih IP-naslovov v 62 državah. Med žrtvami so Združene države Amerike, Južna Koreja, Nizozemska, Madžarska in Avstrija.
Obseg ukradenih podatkov je precejšen:
- Več kot 200.000 edinstvenih gesel
- Na stotine zapisov o kreditnih karticah
- Več kot 4 milijone piškotkov brskalnika
Kampanje PXA Stealer, ki so bile prvič opažene novembra 2024, so bile usmerjene v vladne in izobraževalne ustanove v Evropi in Aziji. Od takrat se je razvila za pridobivanje širokega nabora podatkov, vključno z:
- Gesla in podatki za samodejno izpolnjevanje iz brskalnikov
- Poverilnice za denarnico za kriptovalute
- Konfiguracije odjemalcev VPN
- Informacije iz orodij za ukazno vrstico v oblaku in Discorda
- Povezane omrežne delnice in finančne platforme
Telegram: Živčno središče operacije
Izkradeni podatki se usmerjajo prek Telegramovih kanalov, kjer se shranjujejo in spremljajo. PXA Stealer uporablja BotID-je (TOKEN_BOT) za povezavo botov z njihovimi ustreznimi ChatID-ji (CHAT_ID) – ti kanali delujejo kot skladišča ukradenih informacij in služijo kot komunikacijsko središče za obveščanje akterjev groženj.
Ti ukradeni podatki se nato preusmerijo na nezakonite platforme, kot je Sherlock, tržnica, ki se ukvarja z dnevniki kraje podatkov. Tam lahko drugi kibernetski kriminalci kupijo podatke za izvajanje kripto ropov ali vdor v poslovna omrežja, s čimer se vključijo v hitro rastočo dobavno verigo kibernetskega kriminala.
Napredne taktike obrtništva in izogibanja
Nedavne kampanje leta 2025 so pokazale opazen tehnični napredek. Operaterji zdaj uporabljajo tehnike stranskega nalaganja DLL in večplastne strategije uvajanja, da bi se izognili odkrivanju in ovirali forenzično analizo. Zavajajoč zasuk v verigi napadov vključuje prikaz dokumenta za vabo, kot je lažno obvestilo o kršitvi avtorskih pravic, medtem ko zlonamerne operacije tiho potekajo v ozadju.
Med najpomembnejšimi nadgradnjami v novejših različicah PXA Stealerja je njegova sposobnost ekstrahiranja šifriranih piškotkov iz brskalnikov, ki temeljijo na Chromiumu. To stori tako, da v aktivne procese vbrizga DLL, s čimer učinkovito zaobide zaščito šifriranja na ravni aplikacije.
Ključne tehnike za operacijo
Kampanja prikazuje več opredeljujočih taktik:
Zaščita pred analizo : Zasnovana je za odlašanje odkrivanja in preprečevanje poskusov obratnega inženiringa.
Postopna dostava koristnega tovora : Kompleksne verige okužb z uporabo stransko naloženih DLL-jev.
Vabljiva vsebina : Nezlonamerne datoteke, ki se uporabljajo za prikrivanje zlonamerne dejavnosti.
Infrastruktura C2, ki temelji na Telegramu : Izboljšan komunikacijski cevovod, ki se uporablja za poveljevanje, nadzor in iztekanje podatkov.
Širša slika: Rastoči podzemni trg
Kar se je začelo kot krajo podatkov v Pythonu, je zdaj preraslo v zrelo, večstopenjsko kibernetsko operacijo. Napredna ni le zlonamerna programska oprema, temveč tudi ekosistem, ki jo obdaja, kot so tržnice, ki temeljijo na Telegramu, avtomatizirani kanali za preprodajo podatkov in organizirani cevovodi za monetizacijo.
Ta dogajanja poudarjajo, kako je sodobna kibernetska kriminaliteta postala bolj agilna, prilagodljiva in globoko prepletena s šifriranimi komunikacijskimi orodji. PXA Stealer je odličen primer, kako akterji grožnje prilagajajo svoja orodja in poslovanje, da bi bili pred odkrivanjem in povečali dobiček v današnjem kibernetskem kriminalnem gospodarstvu.
