Son aylarda gözlemlenen en kapsamlı veri hırsızlığı operasyonlarından birini düzenlemek için PXA Stealer olarak bilinen Python tabanlı bir bilgi stealer’dan yararlanan sofistike yeni bir siber suç kampanyası ortaya çıktı.
İlk olarak 2024’ün sonlarında ortaya çıkan kötü amaçlı yazılım, 62 ülkede 4.000’den fazla benzersiz kurbanı başarıyla tehlikeye atan, 200.000’den fazla benzersiz şifre, yüzlerce kredi kartı kaydı ve 4 milyondan fazla hasat edilen tarayıcı kurabiyesi içeren son derece kaçınılmaz çok aşamalı bir operasyona dönüştü.
Kampanya, siber suçlu tradecraft’ta, gelişmiş anti-analiz tekniklerini, kötü olmayan tuzak içeriğini ve güvenlik analizini ve gecikmeyi tespit etmek için tasarlanmış sertleştirilmiş komut ve kontrol boru hattını içeren önemli bir sıçramayı temsil ediyor.
Bu operasyonun arkasındaki tehdit aktörleri, 2025 yılı boyunca dağıtım mekanizmalarını ve kaçınma stratejilerini sürekli olarak geliştirerek dikkate değer bir uyum gösterdi.
En önemlisi, Haihaisoft PDF Reader ve Microsoft Word 2013 gibi meşru imzalı yazılımları içeren yeni kenar yükleme tekniklerini benimsemişler, kötü niyetli DLL’ler ve ortak dosya türleri olarak gizlenmiş gömülü arşivler.
Mağdurların coğrafi dağılımı, Güney Kore, ABD, Hollanda, Macaristan ve Avusturya’nın en ağır hedeflenen bölgeler olduğu gerçekten küresel bir etki ortaya koyuyor.
Sentinellabs analistleri, operasyonu, Telgrafın API altyapısı yoluyla çalınan kimlik bilgilerinin yeniden satışını ve yeniden kullanımını etkili bir şekilde otomatikleştiren sofistike bir abonelik tabanlı yeraltı ekosistemi geliştiren Vietnamca konuşan siber suçlu çevreler tarafından düzenlenmiştir.
.webp)
Bu kampanyayı tipik bilgi çalma işlemlerinden ayıran şey, kapsamlı bir para kazanma çerçevesiyle entegrasyonudur.
Çalınan veriler doğrudan Sherlock gibi, normalleştirildiği, kategorize edildiği ve aşağı akış siber suçlular tarafından satın alınabilecek suç platformlarına beslenir.
Veri hırsızlığına yönelik bu sanayileşmiş yaklaşım, aktörlerin kripto para birimi hırsızlığına girmelerini veya organizasyonlara çeşitli kötü niyetli amaçlar için sızmak için erişim kimlik bilgileri satın almalarını sağlar ve kendi kendini sürdüren bir ceza ekonomisi oluşturur.
Gelişmiş enfeksiyon mekanizması ve kalıcılık taktikleri
PXA Stealer, büyük sıkıştırılmış arşivler içeren kimlik avı yemleriyle başlayan özellikle sofistike bir enfeksiyon zinciri kullanır.
.webp)
Temmuz 2025’te gözlemlenen en son yinelemelerde, kurbanlar, yürütülebilir kelimesi çalıştırıldığında kenar yüklenen msvcr100.dll adlı kötü niyetli bir DLL ile birlikte meşru, imzalı bir Microsoft Word 2013 yürütülebilir dosyasını içeren arşivler alırlar.
Saldırı, işletim sisteminin sistem dizinlerini kontrol etmeden önce yerel dizindeki gerekli kütüphaneleri aradığı Windows’un DLL arama siparişinden yararlanır.
Yürütme üzerine, kenar yüklü DLL, tespitten kaçınmak için tasarlanmış karmaşık çok aşamalı bir işlem başlatır.
Kötü amaçlı yazılım, ilk olarak Tax-Invoice-EV.Docx adlı iyi huylu bir tuzak belgesi başlatır ve aynı zamanda güvenlik analistlerinin zamanını boşa harcayan bir anti-analiz özelliği olarak hizmet ederken meşruiyet yanılsamasını korumak için sahte bir telif hakkı ihlali bildirimi sergiler.
Sistem daha sonra, gömülü arşivleri çözmek için sertifika ile başlayan bir dizi kodlanmış komut yürütür: certutil -decode Documents.pdf LX8bzeZTzF5XSONpDC.rar
Kod çözülmüş arşiv daha sonra Images.PNG olarak gizlenmiş meşru bir Winrar yürütülebilir dosyası kullanılarak çıkarılır. images.png x -pS8SKXaOudHX78CnCmjawuXJAXwNAzVeK -inul -y LX8bzeZTzF5XSONpDC.rar C:\Users\Public\LX8bzeZTzF5XSONpDC.
.webp)
Bu işlem, kötü amaçlı Python komut dosyasının yanında Svchost.exe olarak yeniden adlandırılan taşınabilir bir Python tercümanı çıkarır ve kötü amaçlı yazılımları meşru sistem işlemleri olarak kamufle eder.
Kalıcını sağlamak için, kötü amaçlı yazılım komutu kullanarak bir kayıt defteri çalıştırma anahtarı oluşturur: reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "C:\Users\Public\LX8bzeZTzF5XSONpDC\Photos" /fsistemin yeniden başlatılması ve tehlikeye atılan sistemlere uzun vadeli erişimin sürdürülmesi üzerine yürütmenin garantisi.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin