Фахівці з кібербезпеки компаній Beazley Security та SentinelOne виявили масштабну кампанію розповсюдження удосконаленого інфостілера PXA Stealer. Це шкідливе програмне забезпечення, розроблене на мові програмування Python, вже завдало серйозної шкоди цифровій безпеці користувачів у всьому світі, скомпрометувавши понад 4000 жертв у 62 країнах.
Масштаби та географія кібератак
Дослідження активності шкідливого ПЗ демонструє вражаючі масштаби поширення загрози. Понад 4000 унікальних IP-адрес у різних регіонах світу зазнали атак, включаючи Південну Корею, США, Нідерланди, Угорщину та Австрію. За результатами розслідування, за розробкою та поширенням стілера стоять в’єтнамомовні кіберзлочинці.
Статистика викрадених даних вражає своїми обсягами: зловмисники отримали доступ до понад 200 000 унікальних паролів, даних сотень банківських карт та понад 4 мільйонів файлів cookie з браузерів постраждалих користувачів.
Еволюція методів розповсюдження шкідливого ПЗ
Вперше виявлений спеціалістами Cisco Talos у листопаді 2024 року, PXA Stealer спочатку фокусувався на атаках проти урядових та освітніх установ у Європі та Азії. Однак до 2025 року кіберзлочинці значно вдосконалили свої методи.
Сучасна версія інфостілера використовує передові техніки, включаючи DLL side-loading та багатоступеневі схеми запуску. Ці методи дозволяють шкідливому ПЗ довше залишатися непоміченим системами безпеки та істотно ускладнюють процес виявлення й аналізу.
Механізм зараження через фішингові листи
У квітні поточного року дослідники зафіксували нову схему розповсюдження. Зловмисники розсилають фішингові електронні листи, спонукаючи жертв завантажити архів з підписаною копією легітимного додатка Haihaisoft PDF Reader, у комплекті з яким постачається шкідлива DLL-бібліотека.
Після запуску зараженого файлу шкідлива бібліотека виконує всі етапи інфікування системи, одночасно демонструючи користувачеві підроблені повідомлення, наприклад, про порушення авторських прав, що відволікає увагу від процесів встановлення стілера, які відбуваються у фоновому режимі.
Розширені можливості оновленої версії
Модернізована версія PXA Stealer демонструє значне розширення функціональності. Шкідливе ПЗ здатне витягувати cookie з браузерів на базі рушіїв Gecko та Chromium, використовуючи техніку впровадження DLL в активні процеси та обходячи захист App-Bound Encryption.
Окрім традиційного набору цілей, що включає паролі, дані автозаповнення браузерів та інформацію про криптовалютні гаманці, сучасна версія також викрадає дані VPN-клієнтів, хмарних CLI-інтерфейсів та підключених мережевих ресурсів. До списку цільових додатків входить популярна платформа Discord.
Монетизація через Telegram-інфраструктуру
Кіберзлочинці створили ефективну систему монетизації викрадених даних, використовуючи месенджер Telegram як основний канал комунікації. PXA Stealer застосовує спеціальні ідентифікатори ботів (TOKEN_BOT) для зв’язку з Telegram-каналами, через які оператори отримують вкрадену інформацію та надсилають сповіщення.
Викрадені дані згодом потрапляють на хакерські платформи торгівлі логами, такі як Sherlock, де їх купують інші зловмисники для проведення атак на криптовалютні гаманці або організації. Злочинці навіть впровадили систему платних підписок для регулярних покупців вкраденої інформації.
Використання легітимної інфраструктури Telegram дозволяє кіберзлочинцям автоматизувати процес крадіжки даних та спростити їх подальший продаж, створюючи ефективну екосистему цифрової злочинності. Ця тенденція підкреслює важливість комплексного підходу до забезпечення кібербезпеки, що включає не лише технічні заходи захисту, але й підвищення обізнаності користувачів про сучасні загрози та методи соціальної інженерії.
