Siber güvenlik araştırmacıları, PXA Stealer adlı Python tabanlı bir bilgi stealer dağıtan yeni bir kampanya dalgasına dikkat çekiyor.
Kötü niyetli etkinlik, Beazley Security and Sentinelone tarafından yayınlanan ve bilgisayar korsanı haberleriyle paylaşılan ortak bir rapora göre, çalınan verileri abonelik tabanlı bir yeraltı ekosistemi aracılığıyla parlatan Vietnam konuşan siber suçluların çalışması olarak değerlendirildi.
“Bu keşif, daha nüanslı anti-analiz tekniklerini, kötü olmayan tuzak içeriğini ve triyajı hayal kırıklığına uğratan ve tespiti geciktirmeye çalışan sertleştirilmiş bir komut ve kontrol boru hattı içeren Tradecraft’ta bir sıçrama sergiliyor.”
Kampanyalar, Güney Kore, ABD, Hollanda, Macaristan ve Avusturya dahil olmak üzere 62 ülkeyi kapsayan 4.000’den fazla benzersiz IP adresini bulaştı. Stealer aracılığıyla yakalanan veriler 200.000’den fazla benzersiz şifre, yüzlerce kredi kartı kaydı ve 4 milyondan fazla hasat edilen tarayıcı çerezi içerir.
PXA Stealer ilk olarak Kasım 2024’te Cisco Talos tarafından belgelendi ve bunu Avrupa ve Asya’daki hükümet ve eğitim kuruluşlarını hedefleyen saldırılara atfetti. Şifreler, tarayıcı otomatik doldurma verileri, kripto para birimi cüzdanlarından ve finansal kurumlardan gelen bilgileri hasat edebilir.
Bir pessfiltrasyon kanalı olarak telgraf kullanılarak kötü amaçlı yazılımlar tarafından çalınan veriler, aşağı yönlü tehdit aktörlerinin kripto para birimi hırsızlığı veya infiltrat organizasyonlarını takip amaçları için arıtmak üzere, sibercriminal ekosistem’i besleyecek bilgileri satın alabilecekleri Stealer günlükleri tedarikçisi olan Sherlock gibi ceza platformlarına beslenir.
2025 yılında kötü amaçlı yazılımları dağıtan kampanyalar, radarın altında uçmak için DLL yan yükleme teknikleri ve ayrıntılı evreleme katmanları kullanan tehdit aktörleri ile istikrarlı bir taktik evrime tanık oldu.
Kötü niyetli DLL, enfeksiyon dizisindeki adımların geri kalanını gerçekleştirerek, nihayetinde çalmanın dağıtımının yolunu açmaya özen gösterir, ancak kurbana telif hakkı ihlali bildirimi gibi bir tuzak belgesini görüntülemek için adımlar atmadan önce değil.
Stealer, uygulamaya bağlı şifreleme korumalarını yenmek amacıyla bir DLL enjekte ederek krom tabanlı web tarayıcılarından kurabiyeleri çıkarmak için özelliklere sahip güncellenmiş bir sürümdür. Ayrıca VPN istemcilerinden verileri, bulut komut satırı arayüzü (CLI) yardımcı programları, bağlı filestarlar ve Discord gibi uygulamaları doldurur.
Araştırmacılar, “PXA Stealer, ana bot ile çeşitli chatID (chat_id olarak depolanan) arasındaki bağlantıyı kurmak için botidleri (token_bot olarak saklanır) kullanıyor.” Dedi. “Chatids, çeşitli özelliklere sahip telgraf kanallarıdır, ancak öncelikle spiltre edilmiş verileri barındırmaya ve operatörlere güncellemeler ve bildirimler sağlamaya hizmet ederler.”
“Bu tehdit, o zamandan beri, Vietnamca konuşan aktörler tarafından çalınan kurban verilerini satan organize siber suçlu telgraf tabanlı pazara görünen bağları olan son derece kaçınılmaz, çok aşamalı bir operasyon haline geldi.”