Кампанії атак PXA Stealer
Дослідники кібербезпеки б'ють на сполох через новий сплеск кампаній, що просувають PXA Stealer, шкідливе програмне забезпечення на основі Python, спеціально розроблене для збору конфіденційних даних користувачів. Цей складний інфостейлер приписується групі в'єтнамських кіберзлочинців, які використовують його в підпільній екосистемі на основі підписки. Що відрізняє цю кампанію, так це її інтеграція з API Telegram, що дозволяє швидко монетизувати, перепродавати та повторно використовувати викрадені дані з мінімальним втручанням людини.
Зміст
Поширені інфекції та тривожна крадіжка даних
Злочин PXA Stealer має широкий охоплення. Було скомпрометовано понад 4000 унікальних IP-адрес у 62 країнах. Серед регіонів, де постраждали користувачі, є Сполучені Штати, Південна Корея, Нідерланди, Угорщина та Австрія.
Масштаб викрадених даних значний:
- Понад 200 000 унікальних паролів
- Сотні записів кредитних карток
- Більше 4 мільйонів файлів cookie браузера
Вперше виявлені в листопаді 2024 року, кампанії PXA Stealer були спрямовані на урядові та освітні установи в Європі та Азії. Відтоді програма еволюціонувала для вилучення широкого спектру даних, включаючи:
- Паролі та дані автозаповнення з браузерів
- Облікові дані криптовалютного гаманця
- Конфігурації VPN-клієнта
- Інформація з хмарних інструментів CLI та Discord
- Підключені мережеві ресурси та фінансові платформи
Телеграма: Нервовий центр операції
Викрадені дані передаються через канали Telegram, де вони зберігаються та контролюються. PXA Stealer використовує BotID (TOKEN_BOT) для зв'язування ботів з відповідними ChatID (CHAT_ID) — ці канали діють як сховища викраденої інформації та служать комунікаційним центром для сповіщень про зловмисників.
Ці викрадені дані спрямовуються на незаконні платформи, такі як Sherlock, торговий майданчик, що торгує журналами викрадачів. Тут інші кіберзлочинці можуть купувати дані для проведення крипто-пограбувань або проникнення в корпоративні мережі, що сприяє швидкозростаючому ланцюгу поставок кіберзлочинців.
Розширені торговельні ремесла та тактики ухилення
Нещодавні кампанії 2025 року продемонстрували значний технічний прогрес. Тепер оператори використовують методи бокового завантаження DLL та багаторівневі стратегії розміщення, щоб уникнути виявлення та перешкодити судово-медичному аналізу. Оманливий поворот у ланцюжку атаки включає відображення документа-приманки, такого як підроблене повідомлення про порушення авторських прав, поки шкідливі операції непомітно відбуваються у фоновому режимі.
Серед найважливіших оновлень у новіших версіях PXA Stealer є його здатність витягувати зашифровані файли cookie з браузерів на базі Chromium. Це робиться шляхом впровадження DLL в активні процеси, ефективно обходячи захист шифрування на рівні програми.
Ключові методи, що лежать в основі операції
Кампанія демонструє кілька визначальних тактик:
Захист від аналізу : розроблений для затримки виявлення та перешкоджання зворотному проекту.
Поетапна доставка корисного навантаження : складні ланцюжки зараження з використанням завантажених DLL-бібліотек.
Приманка : нешкідливі файли, що використовуються для маскування шкідливої активності.
Інфраструктура C2 на основі Telegram : посилений комунікаційний канал, що використовується для командування, контролю та витоку даних.
Ширша картина: Зростаючий підпільний ринок
Те, що починалося як викрадач коду на Python, перетворилося на зрілу багатоетапну кібероперацію. Розвинулося не лише шкідливе програмне забезпечення, а й екосистема, що його оточує, така як торговельні майданчики на базі Telegram, автоматизовані канали перепродажу даних та організовані канали монетизації.
Ці події підкреслюють, як сучасна кіберзлочинність стала більш гнучкою, масштабованою та тісно пов'язаною із засобами зашифрованого зв'язку. PXA Stealer є яскравим прикладом того, як зловмисники адаптують свої інструменти та торгівлю, щоб випереджати виявлення та максимізувати прибуток у сучасній кіберзлочинній економіці.
