Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım PXA Hırsızlık Saldırısı Kampanyaları

PXA Hırsızlık Saldırısı Kampanyaları

Mezo'de Kötü amaçlı yazılım, Hırsızlar'de
Çevir:

Siber güvenlik araştırmacıları, hassas kullanıcı verilerini toplamak için özel olarak tasarlanmış Python tabanlı bir kötü amaçlı yazılım olan PXA Stealer'ı destekleyen kampanyalardaki yeni artış konusunda alarm veriyor. Bu gelişmiş bilgi hırsızlığı yazılımı, abonelik tabanlı bir yeraltı ekosisteminde onu kullanan Vietnamca konuşan bir grup siber suçluya atfediliyor. Bu kampanyayı diğerlerinden ayıran şey, çalınan verilerin minimum insan müdahalesiyle hızla paraya çevrilmesini, yeniden satılmasını ve yeniden kullanılmasını sağlayan Telegram API'leriyle entegrasyonudur.

Yaygın Enfeksiyonlar ve Endişe Veri Hırsızlığı

PXA Stealer'ın etki alanı oldukça geniş. 62 ülkede 4.000'den fazla benzersiz IP adresi ele geçirildi. Mağdur bölgeler arasında Amerika Birleşik Devletleri, Güney Kore, Hollanda, Macaristan ve Avusturya yer alıyor.

Çalınan verilerin boyutu önemlidir:

  • 200.000'den fazla benzersiz parola
  • Yüzlerce kredi kartı kaydı
  • 4 milyondan fazla tarayıcı çerezi

İlk olarak Kasım 2024'te görülen PXA Stealer kampanyaları, Avrupa ve Asya'daki hükümet ve eğitim kurumlarını hedef alıyordu. O zamandan beri, aşağıdakiler de dahil olmak üzere geniş bir veri yelpazesi elde edecek şekilde gelişti:

  • Tarayıcılardan gelen parolalar ve otomatik doldurma verileri
  • Kripto para cüzdanı kimlik bilgileri
  • VPN istemci yapılandırmaları
  • Bulut CLI araçlarından ve Discord'dan bilgiler
  • Bağlantılı ağ paylaşımları ve finansal platformlar

Telegram: Operasyonun Sinir Merkezi

Sızdırılan veriler, Telegram kanalları üzerinden yönlendirilir ve burada depolanıp izlenir. PXA Stealer, botları ilgili ChatID'lerine (CHAT_ID) bağlamak için BotID'leri (TOKEN_BOT) kullanır; bu kanallar, çalınan bilgiler için depo görevi görür ve tehdit aktörlerinin bildirimleri için bir iletişim merkezi görevi görür.

Çalınan bu veriler, hırsızlık kayıtlarıyla uğraşan bir pazar yeri olan Sherlock gibi yasa dışı platformlara aktarılıyor. Burada, diğer siber suçlular kripto para soygunları gerçekleştirmek veya kurumsal ağlara sızmak için verileri satın alarak hızla büyüyen bir siber suçlu tedarik zincirine katkıda bulunabiliyor.

Gelişmiş Ticaret Becerileri ve Kaçınma Taktikleri

2025'teki son saldırılar kayda değer teknik ilerlemeler gösterdi. Operatörler artık tespit edilmekten kaçınmak ve adli analizleri engellemek için DLL yan yükleme teknikleri ve çok katmanlı sahneleme stratejileri kullanıyor. Saldırı zincirindeki aldatıcı bir gelişme ise, kötü amaçlı operasyonlar arka planda sessizce ilerlerken, sahte bir telif hakkı ihlali bildirimi gibi aldatıcı bir belgenin görüntülenmesi.

PXA Stealer'ın yeni sürümlerindeki en önemli geliştirmelerden biri, Chromium tabanlı tarayıcılardan şifrelenmiş çerezleri çıkarabilme yeteneğidir. Bunu, etkin işlemlere bir DLL enjekte ederek ve uygulama düzeyindeki şifreleme korumalarını etkin bir şekilde atlatarak yapar.

Operasyonun Arkasındaki Temel Teknikler

Kampanya birkaç belirleyici taktik sergiliyor:

Anti-analiz savunmaları : Tespiti geciktirmek ve tersine mühendislik çabalarını engellemek için tasarlanmıştır.

Aşamalı yük dağıtımı : Yan yüklemeli DLL'leri kullanan karmaşık enfeksiyon zincirleri.

Sahte içerik : Kötü amaçlı faaliyetleri maskelemek için kullanılan kötü amaçlı olmayan dosyalar.

Telegram tabanlı C2 altyapısı : Komuta, kontrol ve veri sızdırma için kullanılan güçlendirilmiş iletişim hattı.

Daha Büyük Resim: Büyüyen Bir Yeraltı Pazarı

Başlangıçta bir Python hırsızı olarak başlayan bu girişim, artık olgunlaşmış ve çok aşamalı bir siber operasyona dönüştü. Sadece kötü amaçlı yazılımlar değil, aynı zamanda Telegram tabanlı pazar yerleri, otomatik veri yeniden satış kanalları ve organize para kazanma kanalları gibi onu çevreleyen ekosistem de gelişmiş durumda.

Bu gelişmeler, modern siber suçların nasıl daha çevik, ölçeklenebilir ve şifreli iletişim araçlarıyla nasıl daha iç içe geçtiğini gözler önüne seriyor. PXA Stealer, tehdit aktörlerinin günümüz siber suç ekonomisinde tespit edilmeden önce kalmak ve kârlarını en üst düzeye çıkarmak için araçlarını ve faaliyetlerini nasıl uyarladıklarının en iyi örneği olarak öne çıkıyor.

trend

Doğrulama Başarısız E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Çevrimiçi dolandırıcılıklar hızla yaygınlaşıyor ve kimlik avı kampanyaları, siber suçluların kullandığı en yaygın taktiklerden biri olmaya devam ediyor. Bunlar arasında yer alan Doğrulama Başarısız E-posta Dolandırıcılığı, alıcıları hassas bilgilerini ifşa etmeleri için kandırmak amacıyla tasarlanmış bir dolandırıcılık kampanyasıdır. Bu e-postalar, ikna edici ve acil görünseler de, herhangi bir...

En çok görüntülenen

Yükleniyor...