Кампање напада крађе PXA
Истраживачи сајбер безбедности бију узбуну због новог пораста кампања које промовишу PXA Stealer, злонамерни софтвер базиран на Пајтону, посебно дизајниран за прикупљање осетљивих корисничких података. Овај софистицирани инфостеалер приписује се групи вијетнамских сајбер криминалаца, који га искоришћавају у оквиру подземног екосистема заснованог на претплати. Оно што издваја ову кампању је њена интеграција са Телеграм API-јима, што омогућава брзу монетизацију, препродају и поновну употребу украдених података уз минималну људску интервенцију.
Преглед садржаја
Распрострањене инфекције и алармантна крађа података
Домет PXA Stealer-а је широк. Више од 4.000 јединствених IP адреса у 62 земље је угрожено. Жртве су Сједињене Америчке Државе, Јужна Кореја, Холандија, Мађарска и Аустрија.
Обим украдених података је значајан:
- Преко 200.000 јединствених лозинки
- Стотине записа о кредитним картицама
- Више од 4 милиона колачића прегледача
Првобитно примећене у новембру 2024. године, кампање PXA Stealer су усмерене на владине и образовне институције у Европи и Азији. Од тада се развила да би извлачила широк спектар података, укључујући:
- Лозинке и подаци за аутоматско попуњавање из прегледача
- Акредитиви за криптовалутни новчаник
- Конфигурације VPN клијента
- Информације из алата за командну линију у облаку и Дискорда
- Повезане мрежне дељења и финансијске платформе
Телеграм: Нервни центар операције
Украдени подаци се усмеравају преко Телеграм канала, где се чувају и прате. PXA Stealer користи BotID-ове (TOKEN_BOT) да повеже ботове са њиховим одговарајућим ChatID-овима (CHAT_ID) — ови канали делују као спремишта за украдене информације и служе као комуникационо чвориште за обавештења о претњама.
Ови украдени подаци се усмеравају на илегалне платформе као што је Шерлок, тржиште које се бави логовима крађа. Овде други сајбер криминалци могу да купе податке како би извршили крипто пљачке или продрли у корпоративне мреже, доприносећи брзорастућем ланцу снабдевања сајбер криминалаца.
Напредне занатске вештине и тактике избегавања
Недавне кампање у 2025. години показале су значајан технички напредак. Оператори сада користе технике бочног учитавања DLL-ова и вишеслојне стратегије припреме како би избегли откривање и отежали форензичку анализу. Обмањујући обрт у ланцу напада укључује приказивање документа мамца, као што је лажно обавештење о кршењу ауторских права, док се злонамерне операције тихо одвијају у позадини.
Међу најзначајнијим надоградњама у новијим варијантама PXA Stealer-а је његова способност да издвоји шифроване колачиће из прегледача заснованих на Chromium-у. То ради убризгавањем DLL-а у активне процесе, ефикасно заобилазећи заштиту шифровања на нивоу апликације.
Кључне технике иза операције
Кампања показује неколико дефинишућих тактика:
Анти-аналитичка одбрана : Дизајнирана да одложи откривање и осујети напоре реверзног инжењеринга.
Фазна испорука корисног оптерећења : Сложени ланци инфекције коришћењем бочно учитаних DLL-ова.
Мамљиви садржај : Незлонамерне датотеке које се користе за маскирање злонамерних активности.
C2 инфраструктура заснована на Телеграму : Ојачани комуникациони цевовод који се користи за командовање, контролу и извлачење података.
Шира слика: Растуће подземно тржиште
Оно што је почело као крађа Пајтона сада је прерасло у зрелу, вишестепену сајбер операцију. Није само злонамерни софтвер напредан, већ и екосистем који га окружује, као што су тржишта заснована на Телеграму, аутоматизовани канали за препродају података и организовани канали за монетизацију.
Ови развоји догађаја истичу како је модерни сајбер криминал постао агилнији, скалабилнији и дубоко испреплетен са алатима за шифровану комуникацију. PXA Stealer представља одличан пример како актери претњи прилагођавају своје алате и трговину како би остали испред откривања и максимизирали профит у данашњој сајбер криминалној економији.
