<div id="post_message_807716">

Аналитики из компаний Beazley Security и SentinelOne предупредили о кампании по распространению обновленного инфостилера PXA Stealer, написанного на Python. По данным исследователей, стилер уже скомпрометировал более 4000 жертв в 62 странах мира.<br/>
<br/>
Исследователи считают, что за PXA Stealer стоят вьетнамоязычные хакеры. Похищенные у жертв данные они монетизируют, продавая их другим преступникам через Telegram, и даже имеют собственную систему платных подписок.<br/>
<br/>
«Эта находка демонстрирует значительный прогресс в тактиках атак: теперь используются более продвинутые методы антианализа, невредоносный фальшивый контент для приманок и защищенная управляющая инфраструктура, что затягивает детектирование и затрудняет расследование», — говорят эксперты.<br/>
<br/>
В настоящее время активность стилера затронула более 4000 уникальных IP-адресов в 62 странах (включая Южную Корею, США, Нидерланды, Венгрию и Австрию). PXA Stealer похитил: свыше 200 000 уникальных паролей, данные сотен банковских карт и более 4 млн файлов cookie из браузеров жертв.<br/>
<br/>
Впервые PXA Stealer был обнаружен аналитиками <a href="https://blog.talosintelligence.com/new-pxa-stealer/" target="_blank">Cisco Talos</a> в ноябре 2024 года. Тогда его в основном использовали для атак на правительственные и образовательные учреждения в странах Европы и Азии. Этот вредонос способен воровать пароли, данные автозаполнения браузера, информацию о криптовалютных кошельках и данные из банковских приложений.<br/>
<br/>
Украденные данные передаются операторам малвари через Telegram, а после попадают на такие хакерские платформы, как Sherlock, торгующие логами. Там их могут приобрести другие злоумышленники, например, с целью кражи криптовалюты или дальнейших атак на организации.<br/>
<br/>
Как теперь сообщили Beazley Security и SentinelOne, в 2025 году тактики распространения стилера стали более изощренными. Атакующие начали использовать DLL side-loading и многоступенчатые схемы запуска малвари, чтобы дольше оставаться незамеченными.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/546836/bs-2048x978.jpg"/><br/>
<br/>
К примеру, в апреле текущего года злоумышленники использовали фишинговые письма, чтобы вынудить жертв загрузить архив, содержащий подписанную копию Haihaisoft PDF Reader вместе с вредоносной DLL-библиотекой.<br/>
<br/>
Вредоносная DLL отвечает за выполнение всех шагов заражения и в какой-то момент показывает жертве приманку (например, фальшивое уведомление о нарушении авторских прав). После этого в систему внедряется стилер.<br/>
<br/>
Кроме того, обновленная версия PXA Stealer умеет извлекать cookie из браузеров на базе Gecko и Chromium (путем внедрения DLL в работающие процессы, обходя защиту <a href="https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on.html" target="_blank">App-Bound Encryption</a>) и похищает данные VPN-клиентов, облачных CLI-интерфейсов, подключенных сетевых ресурсов, а также ряда других приложений, включая Discord.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«PXA Stealer использует идентификаторы бота (TOKEN_BOT), чтобы связать основной бот с Telegram-каналами (CHAT_ID), — поясняют исследователи. — За ChatID стоят разные каналы в Telegram, но в основном они используются для приема похищенных данных и отправки уведомлений операторам. Идея использования легитимной инфраструктуры Telegram продиктована желанием автоматизировать хищение данных и упростить процесс их продажи, что позволяет злоумышленникам эффективнее доставлять информацию другим преступникам».</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/08/06/pxa-stealer" target="_blank">@ xakep.ru</a>
</div>