Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Chiến dịch tấn công PXA Stealer

Chiến dịch tấn công PXA Stealer

Đến năm Mezo năm Phần mềm độc hại, Kẻ trộm
Dịch sang:

Các nhà nghiên cứu an ninh mạng đang gióng lên hồi chuông cảnh báo về sự gia tăng đột biến các chiến dịch phát tán PXA Stealer, một phần mềm độc hại dựa trên Python được thiết kế đặc biệt để thu thập dữ liệu nhạy cảm của người dùng. Phần mềm đánh cắp thông tin tinh vi này được cho là do một nhóm tội phạm mạng nói tiếng Việt khai thác trong một hệ sinh thái ngầm dựa trên đăng ký. Điểm khác biệt của chiến dịch này là nó tích hợp với API của Telegram, cho phép nhanh chóng kiếm tiền, bán lại và tái sử dụng dữ liệu bị đánh cắp mà không cần sự can thiệp của con người.

Nhiễm trùng lan rộng và tình trạng trộm cắp dữ liệu đáng báo động

Phạm vi hoạt động của PXA Stealer rất rộng. Hơn 4.000 địa chỉ IP riêng biệt trên 62 quốc gia đã bị xâm phạm. Các khu vực nạn nhân bao gồm Hoa Kỳ, Hàn Quốc, Hà Lan, Hungary và Áo.

Quy mô dữ liệu bị đánh cắp rất đáng kể:

  • Hơn 200.000 mật khẩu duy nhất
  • Hàng trăm hồ sơ thẻ tín dụng
  • Hơn 4 triệu cookie trình duyệt

Được phát hiện lần đầu vào tháng 11 năm 2024, các chiến dịch PXA Stealer nhắm vào chính phủ và các tổ chức giáo dục ở Châu Âu và Châu Á. Kể từ đó, nó đã phát triển để trích xuất một loạt dữ liệu bao gồm:

  • Mật khẩu và dữ liệu tự động điền từ trình duyệt
  • Thông tin đăng nhập ví tiền điện tử
  • Cấu hình máy khách VPN
  • Thông tin từ các công cụ CLI đám mây và Discord
  • Mạng lưới kết nối chia sẻ và nền tảng tài chính

Telegram: Trung tâm thần kinh của chiến dịch

Dữ liệu bị đánh cắp được định tuyến qua các kênh Telegram, nơi dữ liệu được lưu trữ và giám sát. PXA Stealer sử dụng BotID (TOKEN_BOT) để liên kết các bot với ChatID tương ứng (CHAT_ID) của chúng—các kênh này hoạt động như kho lưu trữ thông tin bị đánh cắp và đóng vai trò là trung tâm liên lạc để nhận thông báo từ tác nhân đe dọa.

Dữ liệu bị đánh cắp này được chuyển đến các nền tảng bất hợp pháp như Sherlock, một thị trường buôn bán nhật ký đánh cắp. Tại đây, tội phạm mạng khác có thể mua dữ liệu để thực hiện các vụ trộm tiền điện tử hoặc xâm nhập vào mạng lưới doanh nghiệp, từ đó cung cấp dữ liệu cho chuỗi cung ứng tội phạm mạng đang phát triển nhanh chóng.

Kỹ thuật nâng cao và chiến thuật né tránh

Các chiến dịch gần đây vào năm 2025 đã chứng minh những tiến bộ kỹ thuật đáng chú ý. Hiện tại, các nhà điều hành sử dụng kỹ thuật tải DLL phụ và chiến lược dàn dựng nhiều lớp để tránh bị phát hiện và cản trở phân tích pháp y. Một bước ngoặt đánh lừa trong chuỗi tấn công bao gồm việc hiển thị một tài liệu giả mạo, chẳng hạn như thông báo vi phạm bản quyền giả mạo, trong khi các hoạt động độc hại vẫn diễn ra âm thầm ở chế độ nền.

Một trong những nâng cấp quan trọng nhất trong các phiên bản mới hơn của PXA Stealer là khả năng trích xuất cookie được mã hóa từ các trình duyệt dựa trên Chromium. Nó thực hiện điều này bằng cách chèn một DLL vào các quy trình đang hoạt động, qua đó bỏ qua các biện pháp bảo vệ mã hóa cấp ứng dụng.

Các kỹ thuật chính đằng sau hoạt động

Chiến dịch này thể hiện một số chiến thuật đặc trưng:

Phòng thủ chống phân tích : Được thiết kế để trì hoãn việc phát hiện và ngăn chặn các nỗ lực kỹ thuật đảo ngược.

Phân phối tải trọng theo giai đoạn : Chuỗi lây nhiễm phức tạp sử dụng DLL tải bên.

Nội dung lừa đảo : Các tệp không độc hại được dùng để che giấu hoạt động độc hại.

Cơ sở hạ tầng C2 dựa trên Telegram : Đường truyền liên lạc được tăng cường sử dụng cho mục đích chỉ huy, kiểm soát và truyền dữ liệu.

Bức tranh toàn cảnh: Một thị trường ngầm đang phát triển

Khởi đầu là một kẻ đánh cắp Python, giờ đây đã phát triển thành một hoạt động mạng trưởng thành, đa giai đoạn. Không chỉ phần mềm độc hại bị lợi dụng, mà cả hệ sinh thái xung quanh nó, chẳng hạn như các thị trường dựa trên Telegram, các kênh bán lại dữ liệu tự động và các kênh kiếm tiền có tổ chức, cũng bị ảnh hưởng.

Những diễn biến này cho thấy tội phạm mạng hiện đại đã trở nên linh hoạt hơn, có khả năng mở rộng quy mô và gắn kết chặt chẽ với các công cụ truyền thông được mã hóa. PXA Stealer là một ví dụ điển hình về cách các tác nhân đe dọa đang điều chỉnh công cụ và hoạt động của chúng để luôn đi trước đối thủ và tối đa hóa lợi nhuận trong nền kinh tế tội phạm mạng ngày nay.

xu hướng

Xác minh không thành công Email lừa đảo

Lừa đảo, Thư rác
Lừa đảo trực tuyến đang phát triển nhanh chóng, và các chiến dịch lừa đảo vẫn là một trong những chiến thuật phổ biến nhất được tội phạm mạng sử dụng. Trong số đó, lừa đảo qua email xác minh không thành công là một chiến dịch lừa đảo được thiết kế để lừa người nhận tiết lộ thông tin nhạy cảm. Những email này không được kết nối với bất kỳ công ty, tổ chức hoặc nhà cung cấp dịch vụ hợp pháp nào,...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
36,111
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...