近期,网络安全研究人员警示了新型Python信息窃取木马“PXA Stealer”的传播活动。该恶意软件由越南黑客操纵,通过Telegram API构建订阅制生态,自动化转售和复用窃取数据以实现变现。此轮攻击已感染全球62个国家超4000个独立IP地址,窃取了大量密码、信用卡记录及浏览器Cookie。PXA Stealer具备精细的反分析技术和非恶意诱饵内容,能够窃取多种敏感信息,并利用DLL侧加载和分阶段部署等技术规避检测,已成为有组织的、基于Telegram的黑市生态的重要组成部分。
📈 **PXA Stealer的全球传播与影响**:该新型Python信息窃取木马已被证实由越南黑客操纵,通过Telegram API构建了一个地下生态系统,用于自动化转售和复用窃取的数据。此次攻击活动已波及全球62个国家,感染了超过4000个独立IP地址,其中韩国、美国、荷兰、匈牙利和奥地利是重灾区。攻击者窃取了超过20万组独立密码、数百条信用卡记录以及超过400万条浏览器Cookie,对全球网络安全造成了广泛威胁。
🛡️ **PXA Stealer的技术手段与规避能力**:PXA Stealer采用了精细的反分析技术、非恶意诱饵内容,并强化了命令控制管道,以阻碍安全分析和延缓检测。它利用DLL侧加载技术和复杂的分阶段部署策略来规避检测。新版本木马能够通过向Chromium浏览器进程注入DLL来突破“应用绑定加密保护”机制,并窃取VPN客户端、云命令行工具(CLI)、共享文件及Discord等应用数据,展示了其高度的技术演进。
💰 **Telegram驱动的犯罪生态系统**:PXA Stealer利用BotID与多个ChatID建立关联,通过Telegram频道托管外泄数据并向操作者推送更新通知。这种基于Telegram的订阅制模式,使得窃取的数据能够便捷地外泄至Sherlock等犯罪平台,供下游攻击者购买并实施加密货币盗窃或组织渗透攻击,形成了一个规模化运行、高度规避且基于Telegram的黑市生态。
🕵️ **PXA Stealer的早期发现与能力**:PXA Stealer最早于2024年11月被思科Talos曝光,当时主要用于针对欧亚政府及教育机构的攻击。该木马具备窃取密码、浏览器自动填充数据、加密货币钱包及金融机构信息的能力。其通过Telegram外泄数据至犯罪平台,为后续的黑客活动提供了便利,凸显了其作为信息窃取工具的强大能力。
HackerNews 编译,转载请注明出处:
网络安全研究人员近期警示新型Python信息窃取木马“PXA Stealer”的传播活动。据Beazley Security与SentinelOne联合报告(已提交至The Hacker News),该恶意活动被判定为越南黑客操纵PXA恶意软件,全球攻陷4000台设备盗取20万密码语黑客团伙所为,其通过Telegram API构建订阅制地下生态,自动化转售和复用窃取数据以实现变现。
“此次攻击展现出技术手段的飞跃,融合了精细的反分析技术、非恶意诱饵内容,以及阻碍安全分析并延缓检测的强化命令控制管道”,安全研究员团队(Jim Walter、Alex Delamotte等)指出。此轮攻击已感染62个国家超4000个独立IP地址,韩国、美国、荷兰、匈牙利及奥地利为重灾区,窃取数据涵盖20多万组独立密码、数百条信用卡记录及超400万条浏览器Cookie。
PXA Stealer最早由思科Talos于2024年11月曝光,被用于针对欧亚政府及教育机构的攻击。该木马可窃取密码、浏览器自动填充数据、加密货币钱包及金融机构信息。其通过Telegram外泄数据至Sherlock等犯罪平台(专门交易窃取日志),下游攻击者可购买信息实施加密货币盗窃或渗透组织进行后续攻击,形成规模化运行的网络犯罪生态。
2025年的攻击活动呈现持续战术演变:攻击者采用DLL侧加载技术和复杂的分阶段部署层规避检测。恶意DLL执行感染全流程,最终部署窃密木马前会向受害者展示版权侵权通知等诱饵文档。新版木马通过向Chromium浏览器进程注入DLL突破“应用绑定加密保护”机制,并窃取VPN客户端、云命令行工具(CLI)、共享文件及Discord等应用数据。
“PXA Stealer利用BotID(存储为TOKEN_BOT)建立主机器人与多个ChatID(存储为CHAT_ID)的关联。ChatID对应的Telegram频道主要用于托管外泄数据,并向操作者推送更新通知”,研究人员解释称,“该威胁已发展为高度规避的多阶段攻击,由越南语攻击者驱动,其明显关联于有组织的、基于Telegram的黑市——专门销售受害者数据。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
