PXA窃取者攻击活动
网络安全研究人员对新一轮推广 PXA Stealer 的攻击活动发出警告。PXA Stealer 是一款基于 Python 的恶意软件,专门用于窃取敏感用户数据。该恶意软件由一群使用越南语的网络犯罪分子开发,他们利用该恶意软件在基于订阅的地下生态系统中进行攻击。此次攻击活动的独特之处在于它与 Telegram API 集成,允许窃取的数据在极少的人为干预下迅速变现、转售和重复使用。
目录
广泛的感染和令人震惊的数据盗窃
PXA Stealer 的攻击范围非常广泛。62 个国家/地区的 4,000 多个唯一 IP 地址已被入侵。受害者地区包括美国、韩国、荷兰、匈牙利和奥地利。
被盗数据的规模十分巨大:
- 超过 200,000 个唯一密码
- 数百条信用卡记录
- 超过 400 万个浏览器 Cookie
PXA Stealer 攻击活动最初于 2024 年 11 月被发现,目标是欧洲和亚洲的政府和教育机构。此后,该攻击活动不断发展,能够提取各种数据,包括:
- 浏览器的密码和自动填充数据
- 加密货币钱包凭证
- VPN 客户端配置
- 来自云 CLI 工具和 Discord 的信息
- 互联网络股票和金融平台
电报:行动的神经中枢
窃取的数据通过 Telegram 频道进行路由,并在其中进行存储和监控。PXA Stealer 使用 BotID(TOKEN_BOT)将机器人与其对应的 ChatID(CHAT_ID)关联起来——这些频道充当被盗信息的存储库,并充当威胁行为者通知的通信中心。
这些被盗数据被汇入Sherlock等非法平台,这是一个专门交易窃取日志的市场。其他网络犯罪分子可以在这里购买这些数据,进行加密货币盗窃或入侵企业网络,从而为快速增长的网络犯罪供应链提供数据。
高级谍报技术和逃避策略
2025 年的近期攻击活动展现出显著的技术进步。攻击者如今采用 DLL 侧载技术和多层分阶段策略来规避检测并阻碍取证分析。攻击链中存在一个欺骗性机制,即显示诱饵文档(例如虚假的版权侵权通知),而恶意操作则在后台悄悄进行。
PXA Stealer 新变种最重要的升级之一是能够从基于 Chromium 的浏览器中提取加密的 Cookie。它通过将 DLL 注入活动进程来实现这一点,从而有效地绕过应用程序级加密保护。
行动背后的关键技术
此次活动展现了几种明确的策略:
反分析防御:旨在延迟检测并阻止逆向工程努力。
分阶段有效载荷传递:使用侧载 DLL 的复杂感染链。
诱饵内容:用于掩盖恶意活动的非恶意文件。
基于电报的 C2 基础设施:用于命令、控制和数据泄露的强化通信管道。
更大的图景:不断增长的地下市场
最初只是一个 Python 窃取程序,如今已发展成为一个成熟的、多阶段的网络行动。它不仅恶意软件先进,其周边的生态系统也十分强大,例如基于 Telegram 的市场、自动化数据转售渠道以及有组织的盈利渠道。
这些发展突显了现代网络犯罪如何变得更加敏捷、更具可扩展性,并与加密通信工具紧密交织。PXA Stealer 是一个典型案例,展现了威胁行为者如何调整其工具和交易方式,以在当今的网络犯罪经济中保持领先地位并实现利润最大化。
