Эксперты по кибербезопасности из Beazley Security и SentinelOne зафиксировали масштабную кампанию распространения модернизированного инфостилера PXA Stealer. Этот вредонос, разработанный на языке программирования Python, уже успел нанести серьезный ущерб цифровой безопасности пользователей по всему миру, скомпрометировав свыше 4000 жертв в 62 странах.
География и масштабы атак PXA Stealer
Анализ активности вредоносного программного обеспечения показал впечатляющие масштабы распространения. Более 4000 уникальных IP-адресов в различных регионах мира подверглись атакам, включая такие страны, как Южная Корея, США, Нидерланды, Венгрия и Австрия. Исследователи установили, что за разработкой и распространением стилера стоят вьетнамоязычные киберпреступники.
Статистика похищенных данных поражает своими объемами: злоумышленники получили доступ к более чем 200 000 уникальных паролей, данным сотен банковских карт и свыше 4 миллионов файлов cookie из браузеров пострадавших пользователей.
Эволюция тактик распространения вредоноса
Впервые обнаруженный специалистами Cisco Talos в ноябре 2024 года, PXA Stealer изначально фокусировался на атаках против правительственных и образовательных учреждений в Европе и Азии. Однако к 2025 году киберпреступники значительно усовершенствовали свои методы.
Современная версия инфостилера использует продвинутые техники, включая DLL side-loading и многоступенчатые схемы запуска. Эти методы позволяют вредоносу дольше оставаться незамеченным системами безопасности и существенно усложняют процесс обнаружения и анализа.
Механизм заражения через фишинговые письма
В апреле текущего года исследователи зафиксировали новую схему распространения. Злоумышленники рассылают фишинговые электронные письма, побуждающие жертв загрузить архив с подписанной копией легитимного приложения Haihaisoft PDF Reader, в комплекте с которым поставляется вредоносная DLL-библиотека.
После запуска зараженного файла вредоносная библиотека выполняет все этапы инфицирования системы, одновременно демонстрируя пользователю фальшивые уведомления, например, о нарушении авторских прав, что отвлекает внимание от происходящих в фоновом режиме процессов установки стилера.
Расширенные возможности современной версии
Обновленная версия PXA Stealer демонстрирует значительное расширение функциональности. Вредонос способен извлекать cookie из браузеров на базе движков Gecko и Chromium, используя технику внедрения DLL в активные процессы и обходя защиту App-Bound Encryption.
Помимо традиционного набора целей, включающего пароли, данные автозаполнения браузеров и информацию о криптовалютных кошельках, современная версия также похищает данные VPN-клиентов, облачных CLI-интерфейсов и подключенных сетевых ресурсов. В список целевых приложений входит популярная платформа Discord.
Монетизация через Telegram-инфраструктуру
Киберпреступники создали эффективную систему монетизации похищенных данных, используя мессенджер Telegram в качестве основного канала коммуникации. PXA Stealer применяет специальные идентификаторы ботов (TOKEN_BOT) для связи с Telegram-каналами, через которые операторы получают украденную информацию и отправляют уведомления.
Украденные данные впоследствии попадают на хакерские платформы торговли логами, такие как Sherlock, где их приобретают другие злоумышленники для проведения атак на криптовалютные кошельки или организации. Преступники даже внедрили систему платных подписок для регулярных покупателей украденной информации.
Использование легитимной инфраструктуры Telegram позволяет киберпреступникам автоматизировать процесс кражи данных и упростить их последующую продажу, создавая эффективную экосистему цифрового криминала. Эта тенденция подчеркивает важность комплексного подхода к обеспечению кибербезопасности, включающего не только технические меры защиты, но и повышение осведомленности пользователей о современных угрозах и методах социальной инженерии.
