Новая волна кибератак, организованная вьетнамоязычными преступниками, использует изощренное вредоносное ПО на базе Python под названием PXA Stealer. Эта многоэтапная кампания отличается высокой степенью уклонения от обнаружения и направлена на кражу огромных объемов данных, которые впоследствии продаются через организованную торговую площадку в Telegram по модели подписки.
Вредоносное ПО PXA Stealer, впервые задокументированное специалистами Cisco Talos в ноябре 2024 года, изначально было нацелено на правительственные и образовательные учреждения в Европе и Азии. Программа способна похищать пароли, данные автозаполнения браузеров, информацию из криптовалютных кошельков и финансовых учреждений, файлы cookie из браузеров на базе Chromium, данные VPN-клиентов, утилит командной строки облачных сервисов, а также информацию из подключенных файловых хранилищ и приложений, таких как Discord.
В основе монетизации лежит подпольная экосистема, построенная на базе Telegram. Преступники используют API мессенджера для автоматизации перепродажи и повторного использования украденной информации. Для этого устанавливается связь между основным ботом (идентификаторы которого хранятся как
В ходе кампаний, тактическое развитие которых отмечается в течение 2025 года, злоумышленники продемонстрировали значительный «скачок в мастерстве». Они применяют сложные методы противодействия анализу и используют защищенную инфраструктуру управления и контроля (C2), чтобы оставаться незамеченными.
Одной из ключевых техник является атака с использованием сторонней загрузки DLL (DLL Side-Loading). Этот метод используется на различных этапах заражения для маскировки вредоносной активности. Чтобы скрыть инфекцию от жертвы, вредоносная DLL отображает поддельный документ, например, уведомление о нарушении авторских прав.
Обновленная версия PXA Stealer демонстрирует усовершенствованные возможности кражи файлов cookie. Вредонос внедряет специальную DLL-библиотеку в запущенные процессы браузеров на базе Chromium. Это позволяет обходить встроенные в приложения механизмы шифрования и извлекать защищенные файлы cookie, которые затем используются для захвата сессий и обхода многофакторной аутентификации.
Масштабы операции носят глобальный характер. Зафиксировано заражение более 4 000 уникальных IP-адресов в 62 странах мира. Среди наиболее пострадавших государств — Южная Корея, США, Нидерланды, Венгрия и Австрия.
В результате деятельности PXA Stealer было похищено свыше 200 000 уникальных паролей, сотни записей о кредитных картах и более 4 миллионов файлов cookie, что свидетельствует о высоком уровне угрозы и значительном финансовом и репутационном ущербе для жертв.
Данные об этой угрозе были представлены в совместном отчете компаний Beazley Security и SentinelOne, который был предоставлен изданию The Hacker News. Над исследованием работала команда специалистов, в которую вошли Джим Уолтер, Алекс Деламотт, Франциско Доносо, Сэм Майерс, Телл Хаус и Бобби Венал.
Изображение носит иллюстративный характер
Вредоносное ПО PXA Stealer, впервые задокументированное специалистами Cisco Talos в ноябре 2024 года, изначально было нацелено на правительственные и образовательные учреждения в Европе и Азии. Программа способна похищать пароли, данные автозаполнения браузеров, информацию из криптовалютных кошельков и финансовых учреждений, файлы cookie из браузеров на базе Chromium, данные VPN-клиентов, утилит командной строки облачных сервисов, а также информацию из подключенных файловых хранилищ и приложений, таких как Discord.
В основе монетизации лежит подпольная экосистема, построенная на базе Telegram. Преступники используют API мессенджера для автоматизации перепродажи и повторного использования украденной информации. Для этого устанавливается связь между основным ботом (идентификаторы которого хранятся как
TOKEN_BOT) и каналами Telegram (CHAT_ID), которые служат для размещения похищенных данных и отправки обновлений операторам. В ходе кампаний, тактическое развитие которых отмечается в течение 2025 года, злоумышленники продемонстрировали значительный «скачок в мастерстве». Они применяют сложные методы противодействия анализу и используют защищенную инфраструктуру управления и контроля (C2), чтобы оставаться незамеченными.
Одной из ключевых техник является атака с использованием сторонней загрузки DLL (DLL Side-Loading). Этот метод используется на различных этапах заражения для маскировки вредоносной активности. Чтобы скрыть инфекцию от жертвы, вредоносная DLL отображает поддельный документ, например, уведомление о нарушении авторских прав.
Обновленная версия PXA Stealer демонстрирует усовершенствованные возможности кражи файлов cookie. Вредонос внедряет специальную DLL-библиотеку в запущенные процессы браузеров на базе Chromium. Это позволяет обходить встроенные в приложения механизмы шифрования и извлекать защищенные файлы cookie, которые затем используются для захвата сессий и обхода многофакторной аутентификации.
Масштабы операции носят глобальный характер. Зафиксировано заражение более 4 000 уникальных IP-адресов в 62 странах мира. Среди наиболее пострадавших государств — Южная Корея, США, Нидерланды, Венгрия и Австрия.
В результате деятельности PXA Stealer было похищено свыше 200 000 уникальных паролей, сотни записей о кредитных картах и более 4 миллионов файлов cookie, что свидетельствует о высоком уровне угрозы и значительном финансовом и репутационном ущербе для жертв.
Данные об этой угрозе были представлены в совместном отчете компаний Beazley Security и SentinelOne, который был предоставлен изданию The Hacker News. Над исследованием работала команда специалистов, в которую вошли Джим Уолтер, Алекс Деламотт, Франциско Доносо, Сэм Майерс, Телл Хаус и Бобби Венал.
