PXA Stealer Attack-kampanjer
Cybersäkerhetsforskare slår larm om en ny våg av kampanjer som marknadsför PXA Stealer, en Python-baserad skadlig kod som är specifikt utformad för att samla in känslig användardata. Denna sofistikerade informationsstöld tillskrivs en grupp vietnamesisktalande cyberbrottslingar, som utnyttjar den inom ett prenumerationsbaserat underjordiskt ekosystem. Det som skiljer denna kampanj från mängden är dess integration med Telegrams API:er, vilket gör att stulen data snabbt kan monetiseras, säljas vidare och återanvändas med minimal mänsklig intervention.
Innehållsförteckning
Utbredda infektioner och alarmerande datastöld
PXA Stealers räckvidd är omfattande. Mer än 4 000 unika IP-adresser i 62 länder har komprometterats. Bland de drabbade regionerna finns USA, Sydkorea, Nederländerna, Ungern och Österrike.
Omfattningen av den stulna informationen är betydande:
- Över 200 000 unika lösenord
- Hundratals kreditkortsuppgifter
- Mer än 4 miljoner webbläsarkakor
PXA Stealer-kampanjer, som ursprungligen upptäcktes i november 2024, riktade sig mot myndigheter och utbildningsinstitutioner i Europa och Asien. Sedan dess har de utvecklats till att utvinna ett brett spektrum av data, inklusive:
- Lösenord och autofyllningsdata från webbläsare
- Inloggningsuppgifter för kryptovalutaplånböcker
- VPN-klientkonfigurationer
- Information från molnbaserade CLI-verktyg och Discord
- Anslutna nätverksandelar och finansiella plattformar
Telegram: Operationens nervcentrum
Exfiltrerad data dirigeras via Telegram-kanaler, där den lagras och övervakas. PXA Stealer använder BotID (TOKEN_BOT) för att länka bottar till deras motsvarande ChatID (CHAT_ID) – dessa kanaler fungerar som databaser för stulen information och fungerar som en kommunikationsnav för meddelanden om hotaktörer.
Denna stulna data kanaliseras till olagliga plattformar som Sherlock, en marknadsplats som handlar med stöldloggar. Här kan andra cyberbrottslingar köpa informationen för att utföra kryptokupp eller penetrera företagsnätverk, vilket bidrar till en snabbt växande cyberbrottslig leveranskedja.
Avancerade hantverks- och undanflyktstaktik
De senaste kampanjerna under 2025 har visat på betydande tekniska framsteg. Operatörerna använder nu sidladdningstekniker för DLL och flerskiktade strategier för att undvika upptäckt och hindra forensisk analys. En bedräglig vändning i attackkedjan involverar visning av ett lockbeteendedokument, såsom ett falskt meddelande om upphovsrättsintrång, medan skadliga operationer pågår tyst i bakgrunden.
Bland de viktigaste uppgraderingarna i de nyare varianterna av PXA Stealer är dess förmåga att extrahera krypterade cookies från Chromium-baserade webbläsare. Den gör detta genom att injicera en DLL i aktiva processer, vilket effektivt kringgår krypteringsskydd på applikationsnivå.
Viktiga tekniker bakom operationen
Kampanjen uppvisar flera definierande taktiker:
Anti-analysförsvar : Utformade för att fördröja upptäckt och hindra reverse engineering-insatser.
Etappvis nyttolastleverans : Komplexa infektionskedjor med hjälp av sidinstallerade DLL-filer.
Lockbeteinnehåll : Icke-skadliga filer som används för att maskera skadlig aktivitet.
Telegrambaserad C2-infrastruktur : Förstärkt kommunikationspipeline som används för kommando, kontroll och dataexfiltrering.
Den större bilden: En växande underjordisk marknad
Det som började som en Python-stöld har nu vuxit till en mogen cyberoperation i flera steg. Det är inte bara skadlig programvara som är avancerad, utan även ekosystemet som omger den, såsom Telegram-baserade marknadsplatser, automatiserade dataåterförsäljningskanaler och organiserade intäktsgenereringspipelines.
Denna utveckling belyser hur modern cyberbrottslighet har blivit mer flexibel, skalbar och djupt sammanflätad med krypterade kommunikationsverktyg. PXA Stealer är ett utmärkt exempel på hur hotaktörer anpassar sina verktyg och sin handel för att ligga steget före upptäckt och maximera vinsterna i dagens cyberkriminella ekonomi.
