แคมเปญโจมตี PXA Stealer
นักวิจัยด้านความปลอดภัยไซเบอร์กำลังส่งสัญญาณเตือนภัยเกี่ยวกับแคมเปญใหม่ที่กำลังพุ่งสูงขึ้นเพื่อผลักดัน PXA Stealer ซึ่งเป็นมัลแวร์ที่พัฒนาด้วยภาษา Python และออกแบบมาเพื่อขโมยข้อมูลผู้ใช้ที่ละเอียดอ่อนโดยเฉพาะ มัลแวร์ขโมยข้อมูลอันซับซ้อนนี้ถูกกล่าวหาว่ามาจากกลุ่มอาชญากรไซเบอร์ที่พูดภาษาเวียดนาม ซึ่งใช้ประโยชน์จากมันภายในระบบนิเวศใต้ดินแบบสมัครสมาชิก สิ่งที่ทำให้แคมเปญนี้โดดเด่นคือการผสานรวมกับ Telegram API ซึ่งช่วยให้สามารถสร้างรายได้ ขายต่อ และนำข้อมูลที่ขโมยมากลับมาใช้ใหม่ได้อย่างรวดเร็วโดยแทบไม่มีการแทรกแซงจากมนุษย์
สารบัญ
การติดเชื้อแพร่หลายและการโจรกรรมข้อมูลที่น่าตกใจ
PXA Stealer เข้าถึงได้อย่างกว้างขวาง มีที่อยู่ IP เฉพาะมากกว่า 4,000 แห่ง ใน 62 ประเทศที่ถูกบุกรุก ภูมิภาคที่ได้รับผลกระทบ ได้แก่ สหรัฐอเมริกา เกาหลีใต้ เนเธอร์แลนด์ ฮังการี และออสเตรีย
ขนาดของข้อมูลที่ถูกขโมยมีนัยสำคัญ:
- รหัสผ่านที่ไม่ซ้ำกันมากกว่า 200,000 รหัส
- บันทึกข้อมูลบัตรเครดิตหลายร้อยรายการ
- คุกกี้เบราว์เซอร์มากกว่า 4 ล้านรายการ
แคมเปญ PXA Stealer ถูกตรวจพบครั้งแรกในเดือนพฤศจิกายน 2567 โดยมีเป้าหมายเป็นหน่วยงานภาครัฐและสถาบันการศึกษาในยุโรปและเอเชีย นับตั้งแต่นั้นมา แคมเปญนี้ได้พัฒนามาเพื่อดึงข้อมูลที่หลากหลาย ได้แก่:
- รหัสผ่านและกรอกข้อมูลอัตโนมัติจากเบราว์เซอร์
- ข้อมูลประจำตัวกระเป๋าเงินคริปโตเคอเรนซี
- การกำหนดค่าไคลเอนต์ VPN
- ข้อมูลจากเครื่องมือ Cloud CLI และ Discord
- เครือข่ายที่เชื่อมต่อและแพลตฟอร์มทางการเงิน
Telegram: ศูนย์กลางประสาทของการปฏิบัติการ
ข้อมูลที่ขโมยมาจะถูกส่งผ่านช่องทาง Telegram ซึ่งจะถูกจัดเก็บและตรวจสอบ PXA Stealer ใช้ BotID (TOKEN_BOT) เพื่อเชื่อมโยงบอทกับ ChatID ที่เกี่ยวข้อง (CHAT_ID) ซึ่งช่องทางเหล่านี้ทำหน้าที่เป็นที่เก็บข้อมูลที่ถูกขโมยและเป็นศูนย์กลางการสื่อสารสำหรับการแจ้งเตือนผู้ก่อภัยคุกคาม
ข้อมูลที่ถูกขโมยเหล่านี้ถูกส่งไปยังแพลตฟอร์มผิดกฎหมาย เช่น Sherlock ซึ่งเป็นตลาดซื้อขายบันทึกการขโมยข้อมูล ณ ที่นี้ อาชญากรไซเบอร์รายอื่นสามารถซื้อข้อมูลเพื่อทำการโจรกรรมข้อมูลคริปโต หรือเจาะระบบเครือข่ายขององค์กรต่างๆ ส่งผลให้ห่วงโซ่อุปทานของอาชญากรไซเบอร์ที่กำลังเติบโตอย่างรวดเร็วถูกนำไปใช้
การค้าขั้นสูงและกลยุทธ์การหลบเลี่ยง
แคมเปญล่าสุดในปี 2025 แสดงให้เห็นถึงความก้าวหน้าทางเทคนิคที่โดดเด่น ปัจจุบันผู้ปฏิบัติการใช้เทคนิคการโหลด DLL แบบไซด์โหลดและกลยุทธ์การจัดเตรียมแบบหลายชั้นเพื่อหลีกเลี่ยงการตรวจจับและขัดขวางการวิเคราะห์ทางนิติวิทยาศาสตร์ การโจมตีแบบหลอกลวงในห่วงโซ่การโจมตีเกี่ยวข้องกับการแสดงเอกสารหลอกลวง เช่น ประกาศการละเมิดลิขสิทธิ์ปลอม ขณะที่การดำเนินการที่เป็นอันตรายดำเนินการอย่างเงียบๆ เบื้องหลัง
หนึ่งในการอัปเกรดที่สำคัญที่สุดใน PXA Stealer รุ่นใหม่คือความสามารถในการดึงคุกกี้ที่เข้ารหัสจากเบราว์เซอร์ที่ใช้ Chromium โดยแทรก DLL เข้าไปในกระบวนการที่ทำงานอยู่ ซึ่งหลีกเลี่ยงการป้องกันการเข้ารหัสระดับแอปพลิเคชันได้อย่างมีประสิทธิภาพ
เทคนิคสำคัญเบื้องหลังการดำเนินการ
แคมเปญนี้แสดงให้เห็นกลยุทธ์ที่ชัดเจนหลายประการ:
การป้องกันการวิเคราะห์ : ออกแบบมาเพื่อชะลอการตรวจจับและขัดขวางความพยายามในการวิศวกรรมย้อนกลับ
การส่งมอบเพย์โหลดแบบแบ่งขั้นตอน : ห่วงโซ่การติดเชื้อที่ซับซ้อนโดยใช้ DLL ที่โหลดจากด้านข้าง
เนื้อหาล่อลวง : ไฟล์ที่ไม่เป็นอันตรายซึ่งใช้เพื่อปกปิดกิจกรรมที่เป็นอันตราย
โครงสร้างพื้นฐาน C2 ที่ใช้ Telegram : ท่อส่งข้อมูลที่แข็งแกร่งที่ใช้สำหรับการสั่งการ การควบคุม และการขโมยข้อมูล
ภาพรวมที่ใหญ่กว่า: ตลาดใต้ดินที่กำลังเติบโต
สิ่งที่เริ่มต้นจากการขโมย Python ตอนนี้ได้เติบโตเป็นปฏิบัติการไซเบอร์แบบหลายขั้นตอนที่ก้าวหน้าและสมบูรณ์ ไม่ใช่แค่มัลแวร์เท่านั้นที่พัฒนาก้าวหน้า แต่ยังรวมถึงระบบนิเวศโดยรอบด้วย เช่น ตลาดซื้อขายที่ใช้ Telegram ช่องทางการขายข้อมูลอัตโนมัติ และกระบวนการสร้างรายได้ที่เป็นระบบ
พัฒนาการเหล่านี้ชี้ให้เห็นว่าอาชญากรรมไซเบอร์สมัยใหม่มีความคล่องตัว ปรับขนาดได้ และเชื่อมโยงอย่างลึกซึ้งกับเครื่องมือสื่อสารที่เข้ารหัสมากขึ้น PXA Stealer ถือเป็นตัวอย่างสำคัญที่แสดงให้เห็นว่าผู้ก่อภัยคุกคามกำลังปรับเครื่องมือและธุรกิจของตนอย่างไร เพื่อให้ก้าวล้ำหน้าการตรวจจับและเพิ่มผลกำไรสูงสุดในเศรษฐกิจอาชญากรรมไซเบอร์ในปัจจุบัน
