Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Fushatat e Sulmit të Vjedhësve PXA

Fushatat e Sulmit të Vjedhësve PXA

Nga MezoMalware, Vjedhësit
Përkthe në:

Studiuesit e sigurisë kibernetike po japin alarmin për një rritje të re të fushatave që nxisin PXA Stealer, një program keqdashës të bazuar në Python, i projektuar posaçërisht për të mbledhur të dhëna të ndjeshme të përdoruesve. Ky vjedhës informacioni i sofistikuar i atribuohet një grupi kriminelësh kibernetikë që flasin vietnamezisht, të cilët e shfrytëzojnë atë brenda një ekosistemi nëntokësor të bazuar në abonime. Ajo që e dallon këtë fushatë është integrimi i saj me API-të e Telegram, duke lejuar që të dhënat e vjedhura të monetizohen, të rishiten dhe të ripërdoren shpejt me ndërhyrje minimale njerëzore.

Infeksione të Përhapura dhe Vjedhje Alarmuese të të Dhënave

Shtrirja e PXA Stealer është e gjerë. Më shumë se 4,000 adresa unike IP në 62 vende janë kompromentuar. Rajonet e viktimave përfshijnë Shtetet e Bashkuara, Korenë e Jugut, Holandën, Hungarinë dhe Austrinë.

Shkalla e të dhënave të vjedhura është e konsiderueshme:

  • Mbi 200,000 fjalëkalime unike
  • Qindra të dhëna të kartave të kreditit
  • Më shumë se 4 milionë cookie të shfletuesit

Fillimisht të vërejtura në nëntor 2024, fushatat PXA Stealer u panë duke synuar institucionet qeveritare dhe arsimore në Evropë dhe Azi. Që atëherë, ato kanë evoluar për të nxjerrë një gamë të gjerë të dhënash, duke përfshirë:

  • Fjalëkalimet dhe të dhënat e plotësimit automatik nga shfletuesit
  • Kredencialet e portofolit të kriptomonedhave
  • Konfigurimet e klientit VPN
  • Informacion nga mjetet CLI në cloud dhe Discord
  • Aksionet e rrjetit të lidhur dhe platformat financiare

Telegram: Qendra Nervore e Operacionit

Të dhënat e nxjerra nga rrjeti transmetohen nëpërmjet kanaleve të Telegramit, ku ruhen dhe monitorohen. PXA Stealer përdor BotID (TOKEN_BOT) për të lidhur bot-et me ChatID-të e tyre përkatëse (CHAT_ID) - këto kanale veprojnë si depo për informacionin e vjedhur dhe shërbejnë si një qendër komunikimi për njoftimet e aktorëve kërcënues.

Këto të dhëna të vjedhura kanalizohen në platforma të paligjshme si Sherlock, një treg që merret me regjistrat e vjedhjeve. Këtu, kriminelë të tjerë kibernetikë mund të blejnë të dhënat për të kryer vjedhje kriptomonedhash ose për të depërtuar në rrjetet e korporatave, duke ushqyer një zinxhir furnizimi të kriminelëve kibernetikë në rritje të shpejtë.

Taktikat e Avancuara të Zanatit Tregtar dhe të Shmangies

Fushatat e fundit në vitin 2025 kanë demonstruar përparim të dukshëm teknik. Operatorët tani përdorin teknika të ngarkimit anësor të DLL dhe strategji shumështresore të skenimit për të shmangur zbulimin dhe për të penguar analizën mjeko-ligjore. Një kthesë mashtruese në zinxhirin e sulmit përfshin shfaqjen e një dokumenti karrem, siç është një njoftim i rremë për shkelje të të drejtave të autorit, ndërsa operacionet keqdashëse vazhdojnë në heshtje në sfond.

Ndër përmirësimet më të rëndësishme në variantet më të reja të PXA Stealer është aftësia e tij për të nxjerrë cookie-t e enkriptuara nga shfletuesit e bazuar në Chromium. E bën këtë duke injektuar një DLL në proceset aktive, duke anashkaluar në mënyrë efektive mbrojtjet e enkriptimit në nivel aplikacioni.

Teknikat kryesore pas operacionit

Fushata shfaq disa taktika përcaktuese:

Mbrojtje kundër analizës : Të dizajnuara për të vonuar zbulimin dhe për të penguar përpjekjet e inxhinierisë së kundërt.

Dorëzimi i ngarkesës së fazuar : Zinxhirë kompleksë infeksioni duke përdorur DLL të ngarkuara anësore.

Përmbajtje mashtruese : Skedarë jo-dashakeqë që përdoren për të maskuar aktivitetin dashakeq.

Infrastrukturë C2 e bazuar në Telegram : Tubacion komunikimi i përforcuar i përdorur për komandë, kontroll dhe nxjerrje të të dhënave.

Pamja e Përgjithshme: Një Treg i Fshehtë në Rritje

Ajo që filloi si një vjedhës Python, tani është rritur në një operacion kibernetik të pjekur dhe me shumë faza. Nuk është vetëm malware-i që është i përparuar, por edhe ekosistemi që e rrethon atë, siç janë tregjet e bazuara në Telegram, kanalet e automatizuara të rishitjes së të dhënave dhe kanalet e organizuara të monetizimit.

Këto zhvillime nxjerrin në pah se si krimi modern kibernetik është bërë më i shkathët, i shkallëzueshëm dhe thellësisht i ndërthurur me mjetet e komunikimit të koduar. PXA Stealer qëndron si një shembull kryesor se si aktorët kërcënues po i përshtatin mjetet dhe tregtinë e tyre për të qëndruar përpara zbulimit dhe për të maksimizuar fitimet në ekonominë e sotme të krimit kibernetik.

Në trend

Më e shikuara

Po ngarkohet...