Знижка на кілька ліцензій
База даних загроз Шкідливе програмне забезпечення Викрадач PXA

Викрадач PXA

До Mezo року в Шкідливе програмне забезпечення, Викрадачі році
Перекласти на:
Українська

Захист ваших пристроїв і особистих даних від шкідливих програм є надзвичайно важливим. PXA Stealer, прихована та ефективна загроза, є прикладом складної природи сучасного шкідливого програмного забезпечення, що розвивається. Розуміння його можливостей, стратегії зараження та наслідків злому може допомогти користувачам захистити свої системи.

Що таке PXA Stealer?

PXA Stealer — це зловмисне програмне забезпечення для крадіжки інформації, створене на Python і призначене для збору конфіденційних даних із скомпрометованих систем. Він націлений на широкий спектр інформації, від криптовалютних гаманців і даних, що зберігаються в браузері, до облікових даних і даних кредитної картки. Цей викрадач набув сумної слави завдяки своїм операціям, пов’язаним із кіберзлочинцями, які спілкуються в’єтнамською мовою, а також пов’язаний з атаками на освітній сектор Індії та європейські урядові організації, зокрема у Швеції та Данії. Викликає тривогу те, що зібрані дані були помічені для продажу в Telegram, що розкриває роль викрадача в підтримці ширшої діяльності кіберзлочинців.

Як PXA Stealer проникає на пристрої

Ланцюг зараження PXA Stealer зазвичай починається зі спаму. Ці повідомлення часто містять вкладений архів ZIP, який після відкриття ініціює серію кроків із залученням пакетних сценаріїв і шкідливого програмного забезпечення завантажувача, написаного на Rust. Ось як розгортається ланцюжок:

  • Розгортання корисного навантаження : початковий пакетний сценарій встановлює з’єднання з віддаленим сайтом, на якому розміщено зловмисне програмне забезпечення. Це призводить до завантаження PXA Stealer і сценарію, призначеного для ухилення від виявлення антивіруса.
  • Фаза виконання : завантажений завантажувач запускає виконуваний файл Python, який, у свою чергу, запускає як сценарій ухилення, так і сам PXA Stealer.
  • Стратегія приманки : Щоб відволікти користувача, процес зараження може передбачати відкриття, здавалося б, нешкідливого файлу-приманки, наприклад PDF-форми чи документа.

Розширені методи ухилення та обфускації

PXA Stealer використовує складну тактику обфускації протягом усього процесу зараження. Це включає пакетні сценарії, які запускають команди PowerShell і виконують приховані завдання, призначені для запобігання виявленню програмним забезпеченням безпеки. Зловмисне програмне забезпечення також систематично завершує процеси з попередньо визначеного списку, націлюючись на інструменти, пов’язані з аналізом і виявленням. Це гарантує, що його діяльність залишається прихованою під час перекачування даних із браузерів, клієнтів FTP і VPN, а також різних програмних програм.

На що спрямований PXA Stealer?

Після вбудовування PXA Stealer сканує великий масив конфіденційної інформації, включаючи, але не обмежуючись:

  • Дані веб-переглядача : історії веб-перегляду, файли cookie, деталі автозаповнення та паролі, отримані з браузерів на базі Chromium (наприклад, Google Chrome) і Gecko (наприклад, Mozilla Firefox).
  • Криптовалютні гаманці : Гаманці на основі розширень для комп’ютера та браузера є вразливими, потенційно розкриваючи приватні ключі та адреси гаманців.
  • Клієнти FTP і VPN : дані для входу та збережені конфігурації скомпрометовані для отримання несанкціонованого доступу до мережевих ресурсів.
  • Статистика соціальних медіа : зокрема, дані, пов’язані з Facebook Ads Manager, такі як деталі сеансу, статуси рекламних облікових записів і бізнес-інформація, збираються для потенційного зловживання в шахрайських кампаніях.
  • Інше конфіденційне програмне забезпечення : цільова сфера дії зловмисного програмного забезпечення поширюється на месенджери, ігрове програмне забезпечення та менеджери паролів.

Використання зібраних даних

Зібрана інформація, включно з обліковими даними для входу та фінансовими даними, продається в Telegram. Канал, пов’язаний із цією діяльністю, пов’язаний із відомою в’єтнамською групою кіберзлочинців, хоча залишається незрозумілим, чи є вони першими розробниками PXA Stealer. Отримані дані можуть бути використані для ряду незаконних дій, таких як:

  • Відмивання грошей: використання скомпрометованих рахунків для непоміченого переміщення коштів.
  • Шахрайський продаж облікових записів: торгівля доступом до облікових записів Facebook, Zalo та інших платформ.
  • Крадіжка особистих даних: використання особистої інформації для здійснення різних форм шахрайства.

Еволюція шкідливих програм

Розробники шкідливих програм часто вдосконалюють свої інструменти, і PXA Stealer не є винятком. Це означає, що майбутні варіанти можуть розширити свої можливості та націлитися на додаткові типи даних або користувачів. Методи розповсюдження також можуть розвиватися, включаючи інші платформи чи формати, що посилює потребу користувачів залишатися пильними.

Як поширюється PXA Stealer?

Хоча відомо, що PXA Stealer поширюється через спам-кампанії електронною поштою, які містять пошкоджені ZIP-файли, ймовірними є й інші методи розповсюдження. Деякі зв’язані канали Telegram вільно розповсюджують інструменти зловмисного програмного забезпечення, а інші торгують ними в більш ексклюзивних колах. Дія цього зловмисного програмного забезпечення може розширитися за рахунок:

  • Фішингові кампанії: хитрі електронні листи, які містять посилання або вкладені файли, призначені для обману користувачів.
  • Пакети завантажень : приховані в пакетах програмного забезпечення з ненадійних джерел.
  • Привідні завантаження: приховані завантаження, ініційовані без згоди користувача.
  • Фальшиві оновлення та інструменти злому: замасковані під законні оновлення програмного забезпечення або незаконні утиліти активації.

Найкращі практики захисту

Найкращий спосіб запобігти зараженню такими загрозами, як PXA Stealer, — це профілактичні заходи кібербезпеки. Обережно поводьтеся з вкладеннями електронної пошти з невідомих джерел, уникайте доступу до підозрілих посилань і оновлюйте програмне забезпечення. Регулярно перевіряйте дозволи браузера та не завантажуйте вміст із неперевірених сайтів.

Висновок: будьте на крок попереду

Зловмисне програмне забезпечення, таке як PXA Stealer, підкреслює важливість обізнаності та проактивних практик кібербезпеки. Оскільки зловмисники продовжують удосконалювати свої методи та розширювати свої цілі, розуміння того, як діють ці загрози, може змінити різницю між скомпрометованим і збереженням безпеки. Користувачі повинні залишатися пильними, ставити під сумнів легітимність небажаних повідомлень і надавати пріоритет комплексному захисту для захисту свого цифрового середовища.

В тренді

Найбільше переглянуті

Спливаючі вікна «Якщо вам 18, торкніться дозволу».

Підроблені попереджувальні повідомлення
27,340
Спливаючі вікна «Якщо вам 18, торкніться дозволу» — це тип спливаючої реклами, яка з’являється на екрані користувача під час перегляду веб-сторінок. Ці спливаючі вікна можуть насторожити користувачів, оскільки вони спонукають їх натиснути кнопку «Дозволити», щоб продовжити використання веб-сайту, на якому вони зараз перебувають. Ці спливаючі вікна пов’язані з такими небажаними програмами, як...
Завантаження...