Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Kẻ đánh cắp PXA

Kẻ đánh cắp PXA

Đến năm Mezo năm Phần mềm độc hại, Kẻ trộm
Dịch sang:
Tiếng Việt Nam

Bảo vệ thiết bị và dữ liệu cá nhân của bạn khỏi các chương trình độc hại là điều vô cùng quan trọng. PXA Stealer, một mối đe dọa ẩn danh và hiệu quả, là ví dụ điển hình cho bản chất phức tạp và đang phát triển của phần mềm độc hại hiện đại. Hiểu được khả năng, chiến lược lây nhiễm và hậu quả của vi phạm có thể giúp người dùng bảo vệ hệ thống của họ.

PXA Stealer là gì?

PXA Stealer là phần mềm độc hại đánh cắp thông tin được tạo bằng Python, được thiết kế để thu thập dữ liệu nhạy cảm từ các hệ thống bị xâm phạm. Nó nhắm mục tiêu vào nhiều loại thông tin, từ ví tiền điện tử và dữ liệu được lưu trữ trên trình duyệt đến thông tin đăng nhập và thông tin chi tiết về thẻ tín dụng. Phần mềm đánh cắp này đã trở nên khét tiếng vì các hoạt động của nó liên quan đến tội phạm mạng giao tiếp bằng tiếng Việt và nó đã liên quan đến các cuộc tấn công vào ngành giáo dục Ấn Độ và các tổ chức chính phủ châu Âu, bao gồm cả các tổ chức ở Thụy Điển và Đan Mạch. Đáng báo động là dữ liệu đã thu thập được đã được phát hiện để bán trên Telegram, tiết lộ vai trò của phần mềm đánh cắp trong việc hỗ trợ các hoạt động tội phạm mạng rộng lớn hơn.

Cách thức kẻ đánh cắp PXA xâm nhập vào thiết bị

Chuỗi lây nhiễm của PXA Stealer thường bắt đầu bằng một email spam. Những tin nhắn này thường chứa tệp đính kèm ZIP, khi mở ra, sẽ khởi tạo một loạt các bước liên quan đến tập lệnh hàng loạt và phần mềm độc hại tải được viết bằng Rust. Sau đây là cách chuỗi diễn ra:

  • Triển khai Payload : Tập lệnh hàng loạt ban đầu thiết lập kết nối đến một trang web từ xa lưu trữ phần mềm độc hại. Điều này dẫn đến việc tải xuống PXA Stealer và một tập lệnh được thiết kế để tránh phát hiện phần mềm diệt vi-rút.
  • Giai đoạn thực thi : Trình tải đã tải xuống sẽ khởi chạy một tệp thực thi Python, sau đó chạy cả tập lệnh trốn tránh và PXA Stealer.
  • Chiến lược mồi nhử : Để đánh lạc hướng người dùng, quá trình lây nhiễm có thể bao gồm việc mở một tệp mồi nhử có vẻ vô hại, chẳng hạn như biểu mẫu hoặc tài liệu PDF.

Kỹ thuật né tránh và che giấu nâng cao

PXA Stealer sử dụng các chiến thuật che giấu tinh vi trong suốt quá trình lây nhiễm. Điều này bao gồm các tập lệnh hàng loạt chạy lệnh PowerShell và thực hiện các tác vụ ẩn được thiết kế để ngăn phần mềm bảo mật phát hiện. Phần mềm độc hại này cũng chấm dứt một cách có hệ thống các quy trình từ một danh sách được xác định trước, nhắm mục tiêu vào các công cụ liên quan đến phân tích và phát hiện. Điều này đảm bảo các hoạt động của nó vẫn ẩn trong khi trích xuất dữ liệu từ trình duyệt, máy khách FTP và VPN và nhiều ứng dụng phần mềm khác.

Kẻ đánh cắp PXA nhắm tới mục tiêu nào?

Sau khi được nhúng vào, PXA Stealer sẽ quét một loạt thông tin nhạy cảm, bao gồm nhưng không giới hạn ở:

  • Dữ liệu trình duyệt : Lịch sử duyệt web, cookie, thông tin tự động điền và mật khẩu được trích xuất từ các trình duyệt dựa trên Chromium (ví dụ: Google Chrome) và dựa trên Gecko (ví dụ: Mozilla Firefox).
  • Ví tiền điện tử : Cả ví trên máy tính để bàn và tiện ích mở rộng của trình duyệt đều dễ bị tấn công, có khả năng tiết lộ khóa riêng tư và địa chỉ ví.
  • Máy khách FTP và VPN : Chi tiết đăng nhập và cấu hình đã lưu trữ bị xâm phạm để truy cập trái phép vào tài nguyên mạng.
  • Thông tin chi tiết về phương tiện truyền thông xã hội : Đặc biệt, dữ liệu liên quan đến Trình quản lý quảng cáo Facebook, chẳng hạn như thông tin chi tiết về phiên, trạng thái tài khoản quảng cáo và thông tin doanh nghiệp, được thu thập để có khả năng sử dụng sai mục đích trong các chiến dịch gian lận.
  • Phần mềm nhạy cảm khác : Phạm vi nhắm tới của phần mềm độc hại này mở rộng tới các ứng dụng nhắn tin, phần mềm chơi game và trình quản lý mật khẩu.

Khai thác dữ liệu đã thu thập

Thông tin thu thập được, bao gồm thông tin đăng nhập và dữ liệu tài chính, đã được phát hiện đang được tiếp thị trên Telegram. Kênh liên kết đến hoạt động này được kết nối với một nhóm tội phạm mạng người Việt Nam đã biết, mặc dù vẫn chưa rõ liệu họ có phải là những người phát triển PXA Stealer ban đầu hay không. Dữ liệu thu thập được có thể được sử dụng cho một loạt các hoạt động bất hợp pháp, chẳng hạn như:

  • Rửa tiền: Sử dụng các tài khoản bị xâm phạm để chuyển tiền mà không bị phát hiện.
  • Bán tài khoản gian lận: Giao dịch quyền truy cập vào tài khoản Facebook, Zalo và các nền tảng khác.
  • Trộm cắp danh tính: Sử dụng thông tin cá nhân để thực hiện nhiều hình thức gian lận khác nhau.

Mối đe dọa phần mềm độc hại đang phát triển

Các nhà phát triển phần mềm độc hại thường xuyên tinh chỉnh các công cụ của họ và PXA Stealer cũng không ngoại lệ. Điều này có nghĩa là các biến thể trong tương lai có thể mở rộng khả năng của chúng và nhắm mục tiêu vào các loại dữ liệu hoặc người dùng bổ sung. Các phương pháp phân phối cũng có thể phát triển để bao gồm các nền tảng hoặc định dạng khác, củng cố nhu cầu người dùng phải luôn cảnh giác.

PXA Stealer lây lan như thế nào?

Mặc dù PXA Stealer được biết đến là được phát tán thông qua các chiến dịch thư rác email có chứa các tệp ZIP bị hỏng, nhưng các phương pháp phân phối khác cũng khả thi. Một số kênh Telegram liên quan phân phối các công cụ phần mềm độc hại một cách tự do, trong khi những kênh khác giao dịch chúng trong các vòng tròn độc quyền hơn. Phạm vi tiếp cận của phần mềm độc hại này có thể mở rộng thông qua:

  • Chiến dịch lừa đảo: Email tinh vi có chứa liên kết hoặc tệp đính kèm được thiết kế để đánh lừa người dùng.
  • Tải xuống theo gói : Ẩn trong các gói phần mềm từ các nguồn không đáng tin cậy.
  • Tải xuống tự động: Tải xuống ẩn mà không có sự đồng ý của người dùng.
  • Bản cập nhật giả và công cụ bẻ khóa: Ngụy trang dưới dạng bản cập nhật phần mềm hợp pháp hoặc tiện ích kích hoạt bất hợp pháp.

Thực hành tốt nhất cho quốc phòng

Cách tốt nhất để ngăn ngừa lây nhiễm bởi các mối đe dọa như PXA Stealer là thông qua các biện pháp an ninh mạng chủ động. Xử lý cẩn thận các tệp đính kèm email từ các nguồn không xác định, tránh truy cập vào các liên kết đáng ngờ và cập nhật phần mềm của bạn. Thường xuyên xem xét quyền của trình duyệt và lưu ý không tải xuống nội dung từ các trang web chưa được xác minh.

Kết luận: Luôn đi trước một bước

Phần mềm độc hại như PXA Stealer nhấn mạnh tầm quan trọng của nhận thức và các hoạt động an ninh mạng chủ động. Khi những kẻ xâm nhập tiếp tục tinh chỉnh phương pháp và mở rộng mục tiêu, việc hiểu cách thức hoạt động của các mối đe dọa này có thể tạo ra sự khác biệt giữa việc bị xâm phạm và duy trì sự an toàn. Người dùng phải luôn cảnh giác, đặt câu hỏi về tính hợp pháp của các thông tin liên lạc không mong muốn và ưu tiên bảo vệ toàn diện để bảo vệ môi trường kỹ thuật số của họ.

xu hướng

Xem nhiều nhất

Cửa sổ bật lên 'Nếu bạn đủ 18 tuổi, hãy nhấn vào Cho...

Tin nhắn cảnh báo giả mạo
27,340
Cửa sổ bật lên 'Nếu bạn đủ 18 tuổi, hãy nhấn vào Cho phép' là một loại quảng cáo bật lên xuất hiện trên màn hình của người dùng khi duyệt internet. Những cửa sổ bật lên này có thể khá đáng báo động đối với người dùng khi chúng thúc giục họ nhấp vào nút "cho phép" để tiếp tục sử dụng trang web mà họ hiện đang truy cập. Các cửa sổ bật lên này được liên kết với các chương trình không mong...
Đang tải...