PXA Stealer Attack Campaigns

Ang mga mananaliksik sa cybersecurity ay nagpapatunog ng alarma sa isang bagong pagsulong sa mga kampanya na nagtutulak sa PXA Stealer, isang malware na nakabatay sa Python na partikular na idinisenyo upang mag-ani ng sensitibong data ng user. Ang sopistikadong infostealer na ito ay iniuugnay sa isang pangkat ng mga cybercriminal na nagsasalita ng Vietnamese, na nagsasamantala dito sa loob ng isang underground ecosystem na nakabatay sa subscription. Ang pinagkaiba ng campaign na ito ay ang pagsasama nito sa mga Telegram API, na nagbibigay-daan sa ninakaw na data na mabilis na pagkakitaan, muling ibenta, at muling magamit nang may kaunting interbensyon ng tao.

Mga Laganap na Impeksyon at Nakababahala na Pagnanakaw ng Data

Malawak ang abot ng PXA Stealer. Mahigit sa 4,000 natatanging IP address sa 62 bansa ang nakompromiso. Kabilang sa mga rehiyon ng biktima ang United States, South Korea, Netherlands, Hungary, at Austria.

Ang laki ng ninakaw na data ay makabuluhan:

• Higit sa 200,000 natatanging password
• Daan-daang mga talaan ng credit card
• Higit sa 4 na milyong browser cookies

Unang nakita noong Nobyembre 2024, nakita ang mga kampanyang PXA Stealer na nagta-target sa mga institusyon ng gobyerno at edukasyon sa Europe at Asia. Simula noon, umunlad ito upang kunin ang isang malawak na hanay ng data kabilang ang:

• Mga password at autofill data mula sa mga browser
• Mga kredensyal ng wallet ng Cryptocurrency
• Mga pagsasaayos ng kliyente ng VPN
• Impormasyon mula sa mga tool sa cloud CLI at Discord
• Mga nakakonektang network share at financial platform

Telegram: Ang Nerve Center ng Operasyon

Ang na-exfiltrated na data ay niruruta sa pamamagitan ng mga Telegram channel, kung saan ito ay nakaimbak at sinusubaybayan. Gumagamit ang PXA Stealer ng mga BotID (TOKEN_BOT) upang i-link ang mga bot sa kanilang mga kaukulang ChatID (CHAT_ID)—ang mga channel na ito ay nagsisilbing mga repositoryo para sa ninakaw na impormasyon at nagsisilbing sentro ng komunikasyon para sa mga notification ng aktor ng pagbabanta.

Ang ninakaw na data na ito ay inilalagay sa mga ipinagbabawal na platform gaya ng Sherlock, isang marketplace na nakikitungo sa mga log ng magnanakaw. Dito, maaaring bilhin ng ibang mga cybercriminal ang data upang magsagawa ng mga crypto heists o tumagos sa mga corporate network, na nagpapakain sa isang mabilis na lumalagong cybercriminal supply chain.

Advanced na Tradecraft at Evasion Tactics

Ang mga kamakailang kampanya noong 2025 ay nagpakita ng kapansin-pansing teknikal na pagsulong. Gumagamit na ngayon ang mga operator ng DLL side-loading techniques at multi-layered staging strategy para maiwasan ang pagtuklas at hadlangan ang forensic analysis. Ang isang mapanlinlang na twist sa chain ng pag-atake ay nagsasangkot ng pagpapakita ng isang decoy na dokumento, tulad ng isang pekeng abiso sa paglabag sa copyright, habang ang mga nakakahamak na operasyon ay nagpapatuloy nang tahimik sa background.

Kabilang sa pinakamahalagang pag-upgrade sa mga mas bagong variant ng PXA Stealer ay ang kakayahang mag-extract ng mga naka-encrypt na cookies mula sa mga browser na nakabase sa Chromium. Ginagawa ito sa pamamagitan ng pag-inject ng DLL sa mga aktibong proseso, na epektibong lumalampas sa mga proteksyon sa pag-encrypt sa antas ng aplikasyon.

Mga Pangunahing Teknik sa Likod ng Operasyon

Ang kampanya ay nagpapakita ng ilang pagtukoy ng mga taktika:

Mga panlaban sa pagsusuri : Dinisenyo upang maantala ang pagtuklas at biguin ang mga pagsisikap sa reverse engineering.

Sted payload delivery : Mga kumplikadong chain ng impeksyon gamit ang mga side-loaded na DLL.

Nilalaman ng pang-decoy : Mga hindi nakakahamak na file na ginagamit upang i-mask ang nakakahamak na aktibidad.

Imprastraktura ng C2 na nakabase sa Telegram : Pinatigas na pipeline ng komunikasyon na ginagamit para sa command, control, at data exfiltration.

Ang Mas Malaking Larawan: Isang Lumalagong Underground Market

Ang nagsimula bilang isang Python stealer ay naging isang mature, multi-stage cyber operation. Hindi lang malware ang advanced, ngunit ang ecosystem na nakapalibot dito, gaya ng mga marketplace na nakabatay sa Telegram, mga channel ng automated na muling pagbebenta ng data, at mga organisadong pipeline ng monetization.

Itinatampok ng mga pag-unlad na ito kung paano naging mas maliksi, nasusukat, at malalim ang pagkakaugnay ng modernong cybercrime sa mga naka-encrypt na tool sa komunikasyon. Naninindigan ang PXA Stealer bilang isang pangunahing halimbawa kung paano inaangkop ng mga banta ng aktor ang kanilang mga tool at pangangalakal upang manatiling nangunguna sa pagtuklas at paglaki ng mga kita sa ekonomiya ng cybercriminal ngayon.