PXA竊取者攻擊活動
網路安全研究人員對新一輪推廣 PXA Stealer 的攻擊活動發出警告。 PXA Stealer 是一款基於 Python 的惡意軟體,專門用於竊取敏感使用者資料。該惡意軟體由一群使用越南語的網路犯罪分子開發,他們利用該惡意軟體在基於訂閱的地下生態系統中進行攻擊。這次攻擊活動的獨特之處在於它與 Telegram API 集成,允許竊取的資料在極少的人為幹預下迅速變現、轉售和重複使用。
目錄
廣泛感染和令人震驚的資料竊取
PXA Stealer 的攻擊範圍非常廣泛。 62 個國家的 4,000 多個唯一 IP 位址已被入侵。受害者地區包括美國、韓國、荷蘭、匈牙利和奧地利。
被竊資料的規模十分巨大:
- 超過 20 萬個唯一密碼
- 數百筆信用卡記錄
- 超過 400 萬個瀏覽器 Cookie
PXA Stealer 攻擊活動最初於 2024 年 11 月被發現,目標是歐洲和亞洲的政府和教育機構。此後,該攻擊活動不斷發展,能夠提取各種數據,包括:
- 瀏覽器的密碼和自動填入數據
- 加密貨幣錢包憑證
- VPN 用戶端配置
- 來自雲端 CLI 工具和 Discord 的訊息
- 互聯網股票和金融平台
電報:行動的神經中樞
竊取的資料透過 Telegram 頻道進行路由,並在其中進行儲存和監控。 PXA Stealer 使用 BotID(TOKEN_BOT)將機器人與其對應的 ChatID(CHAT_ID)關聯起來——這些頻道充當被盜資訊的儲存庫,並充當威脅行為者通知的通訊中心。
這些被盜資料被匯入Sherlock等非法平台,這是一個專門交易竊取日誌的市場。其他網路犯罪分子可以在這裡購買這些數據,進行加密貨幣盜竊或入侵企業網絡,從而為快速增長的網路犯罪供應鏈提供數據。
高級諜報技術與逃避策略
2025 年的近期攻擊活動展現出顯著的技術進步。攻擊者如今採用 DLL 側載技術和多層分階段策略來規避偵測並阻礙取證分析。攻擊鏈中存在一個欺騙性機制,即顯示誘餌文件(例如虛假的版權侵權通知),而惡意操作則在後台悄悄進行。
PXA Stealer 新變種最重要的升級之一是能夠從基於 Chromium 的瀏覽器中提取加密的 Cookie。它透過將 DLL 注入活動進程來實現這一點,從而有效地繞過應用程式級加密保護。
行動背後的關鍵技術
這次活動展現了幾種明確的策略:
反分析防禦:旨在延遲偵測並阻止逆向工程努力。
分階段有效載荷傳遞:使用側載 DLL 的複雜感染鏈。
誘餌內容:用於掩蓋惡意活動的非惡意檔案。
基於電報的 C2 基礎設施:用於命令、控制和資料外洩的強化通訊管道。
更大的圖景:不斷成長的地下市場
最初只是一個 Python 竊取程序,如今已發展成為一個成熟的、多階段的網路行動。它不僅惡意軟體先進,其周邊的生態系統也十分強大,例如基於 Telegram 的市場、自動化數據轉售管道以及有組織的獲利管道。
這些發展突顯了現代網路犯罪如何變得更加敏捷、更具可擴展性,並與加密通訊工具緊密交織。 PXA Stealer 是一個典型案例,展現了威脅行為者如何調整其工具和交易方式,以在當今的網路犯罪經濟中保持領先地位並實現利潤最大化。
