Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Опасный инфостилер PXA Stealer атакует мир

2 мин
Изображение: recraft Исследователи кибербезопасности зафиксировали новую волну атак с использованием инфостилера PXA Stealer — вредоносного программного обеспечения на базе Python, предназначенного для кражи данных. Как говорится в совместном докладе Beazley Security и SentinelOne, переданном изданию The Hacker News, активность связана с киберпреступниками, говорящими на вьетнамском языке. Они создали полноценную теневую инфраструктуру для автоматизированной перепродажи похищенной информации, используя Telegram в качестве канала для управления ботами и эксфильтрации данных. По информации экспертов, злоумышленники атаковали более 4000 уникальных IP-адресов в 62 странах. Среди пострадавших — пользователи и организации в Южной Корее, США, Нидерландах, Венгрии, Австрии и других странах. В результате атак были скомпрометированы более 200 тыс. уникальных паролей, сотни платёжных данных и более 4 млн cookie-файлов, извлечённых из браузеров. Как уточняется в исследовании, вредонос PXA Stealer

Изображение: recraft

Исследователи кибербезопасности зафиксировали новую волну атак с использованием инфостилера PXA Stealer — вредоносного программного обеспечения на базе Python, предназначенного для кражи данных. Как говорится в совместном докладе Beazley Security и SentinelOne, переданном изданию The Hacker News, активность связана с киберпреступниками, говорящими на вьетнамском языке.

Они создали полноценную теневую инфраструктуру для автоматизированной перепродажи похищенной информации, используя Telegram в качестве канала для управления ботами и эксфильтрации данных.

По информации экспертов, злоумышленники атаковали более 4000 уникальных IP-адресов в 62 странах. Среди пострадавших — пользователи и организации в Южной Корее, США, Нидерландах, Венгрии, Австрии и других странах. В результате атак были скомпрометированы более 200 тыс. уникальных паролей, сотни платёжных данных и более 4 млн cookie-файлов, извлечённых из браузеров.

Как уточняется в исследовании, вредонос PXA Stealer позволяет собирать информацию из браузеров, криптокошельков и других приложений, а также данные автозаполнения и учётные записи финансовых сервисов. Заражённые системы подключаются к командным серверам, после чего похищенные данные через Telegram-ботов поступают в закрытые платформы, такие как Sherlock — сервис для дальнейшей монетизации логов. Эти данные впоследствии используются для атак на криптовалютные активы, кражи личных аккаунтов и взлома корпоративной инфраструктуры.

Авторы исследования — Джим Уолтер, Алекс Деламотт, Франсиско Доносо, Сэм Майерс, Телл Хауз и Бобби Венал — подчёркивают, что вредоносная кампания отличается повышенной устойчивостью к анализу и обнаружению. В коде PXA Stealer используются методы маскировки, ложные компоненты и зашифрованные каналы связи, что затрудняет отслеживание и реагирование на угрозу.

Впервые PXA Stealer был описан компанией Cisco Talos в ноябре 2024 года. Тогда вредонос использовался в атаках на учреждения в Европе и Азии. С тех пор инструментарий трояна расширился, и он стал частью более крупной и масштабируемой киберпреступной схемы, основанной на подписной модели, где доступ к украденным данным продаётся через API.

Оригинал публикации на сайте CISOCLUB: "Вьетнамская хак-группа с помощью PXA Stealer заразила 4000 IP-адресов и похитила более 200 тыс. паролей по всему миру".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.