Cybersicherheitsexperten von Beazley Security und SentinelOne haben eine großangelegte Kampagne des weiterentwickelten Infostealers PXA Stealer aufgedeckt. Die in Python entwickelte Schadsoftware hat bereits über 4.000 Opfer in 62 Ländern kompromittiert und stellt eine erhebliche Bedrohung für die digitale Sicherheit von Unternehmen und Privatnutzern dar.
Globale Ausbreitung und Schadensbilanz
Die Analyse der Malware-Aktivitäten zeigt besorgniserregende Dimensionen auf. Mehr als 4.000 einzigartige IP-Adressen wurden in verschiedenen Regionen attackiert, wobei Südkorea, die USA, die Niederlande, Ungarn und Österreich besonders betroffen sind. Sicherheitsforscher identifizierten vietnamesischsprachige Cyberkriminelle als Urheber der Kampagne.
Das Ausmaß der gestohlenen Daten ist alarmierend: Die Angreifer erbeuteten mehr als 200.000 eindeutige Passwörter, Hunderte von Bankkarteninformationen und über vier Millionen Browser-Cookies von den betroffenen Nutzern. Diese Datenmenge verdeutlicht die Professionalität und den industriellen Maßstab der Operation.
Technische Evolution und Angriffsmethoden
Erstmals im November 2024 von Cisco Talos entdeckt, konzentrierte sich PXA Stealer ursprünglich auf Regierungs- und Bildungseinrichtungen in Europa und Asien. Die Cyberkriminellen haben ihre Taktiken jedoch erheblich verfeinert und erweitert.
Die aktuelle Version nutzt fortschrittliche Techniken wie DLL Side-Loading und mehrstufige Ausführungsketten. Diese Methoden ermöglichen es der Malware, länger unentdeckt zu bleiben und erschweren die Erkennung durch Sicherheitssysteme erheblich.
Phishing-basierte Verbreitungsstrategie
Im April 2025 dokumentierten Forscher eine neue Verbreitungsmethode. Cyberkriminelle versenden Phishing-E-Mails, die Opfer dazu verleiten, ein Archiv mit einer signierten Version der legitimen Anwendung Haihaisoft PDF Reader herunterzuladen. Diesem Paket liegt eine bösartige DLL-Bibliothek bei.
Nach der Ausführung der infizierten Datei führt die schädliche Bibliothek alle Infektionsschritte durch, während sie dem Benutzer gefälschte Benachrichtigungen über angebliche Urheberrechtsverletzungen anzeigt. Diese Ablenkungsmanöver verschleiern die im Hintergrund ablaufenden Installationsprozesse.
Erweiterte Funktionalitäten der neuen Version
Die überarbeitete Version von PXA Stealer zeigt eine deutlich erweiterte Funktionalität. Die Malware kann Cookies aus Gecko- und Chromium-basierten Browsern extrahieren, indem sie DLL-Injection-Techniken in aktive Prozesse verwendet und den App-Bound Encryption-Schutz umgeht.
Neben traditionellen Zielen wie Passwörtern, Browser-Autofill-Daten und Kryptowährungs-Wallet-Informationen stiehlt die moderne Version auch VPN-Client-Daten, Cloud-CLI-Schnittstellen und Informationen über verbundene Netzwerkressourcen. Die beliebte Kommunikationsplattform Discord gehört ebenfalls zu den Zielanwendungen.
Monetarisierung über Telegram-Infrastruktur
Die Cyberkriminellen haben ein effizientes System zur Monetarisierung gestohlener Daten entwickelt, das Telegram als primären Kommunikationskanal nutzt. PXA Stealer verwendet spezielle Bot-Identifikatoren (TOKEN_BOT) für die Kommunikation mit Telegram-Kanälen, über die Betreiber gestohlene Informationen erhalten und Benachrichtigungen versenden.
Die erbeuteten Daten landen anschließend auf Hacker-Marktplätzen wie Sherlock, wo andere Cyberkriminelle sie für Angriffe auf Kryptowährungs-Wallets oder Organisationen erwerben. Die Kriminellen haben sogar ein Abonnement-System für Stammkunden gestohlener Informationen implementiert.
Die Nutzung der legitimen Telegram-Infrastruktur ermöglicht es Cyberkriminellen, den Datendiebstahl zu automatisieren und den Verkauf zu vereinfachen, wodurch ein effizientes Ökosystem digitaler Kriminalität entsteht. Diese Entwicklung unterstreicht die Notwendigkeit eines ganzheitlichen Ansatzes zur Cybersicherheit, der sowohl technische Schutzmaßnahmen als auch die Sensibilisierung der Nutzer für moderne Bedrohungen und Social-Engineering-Methoden umfasst.
