Nuova ondata di campagne distribuisce il PXA Stealer basato su Python
I ricercatori di cybersecurity stanno mettendo in luce una nuova ondata di campagne che distribuiscono un information stealer basato su Python chiamato PXA Stealer. Questa attività malevola è stata attribuita a cybercriminali di lingua vietnamita che monetizzano i dati rubati attraverso un ecosistema sotterraneo basato su abbonamenti, automatizzando la rivendita e il riutilizzo tramite le API di Telegram, secondo un rapporto congiunto pubblicato da Beazley Security e SentinelOne.
Le campagne hanno infettato oltre 4.000 indirizzi IP unici in 62 paesi, tra cui Corea del Sud, Stati Uniti, Paesi Bassi, Ungheria e Austria. I dati catturati tramite lo stealer includono più di 200.000 password uniche, centinaia di record di carte di credito e oltre 4 milioni di cookie del browser raccolti.
Evoluzione delle tattiche e tecniche di distribuzione
Le campagne che distribuiscono il malware nel 2025 hanno visto un’evoluzione tattica costante, con gli attori della minaccia che impiegano tecniche di DLL side-loading e livelli di staging elaborati nel tentativo di passare inosservati. Il DLL malevolo si occupa di eseguire il resto dei passaggi nella sequenza di infezione, aprendo la strada al dispiegamento dello stealer.
Il PXA Stealer è una versione aggiornata con capacità di estrarre cookie dai browser web basati su Chromium iniettando un DLL nelle istanze in esecuzione, con l’obiettivo di sconfiggere le protezioni di crittografia legate alle app. Inoltre, saccheggia dati da client VPN, utility di interfaccia a riga di comando (CLI) cloud, file condivisi connessi e applicazioni come Discord.
Canali di esfiltrazione e utilizzo dei dati rubati
I dati rubati dal malware utilizzando Telegram come canale di esfiltrazione vengono alimentati in piattaforme criminali come Sherlock, un fornitore di log di stealer, da dove attori di minacce a valle possono acquistare le informazioni per impegnarsi in furti di criptovalute o infiltrarsi nelle organizzazioni per scopi successivi, alimentando un ecosistema cybercriminale che opera su larga scala.
PXA Stealer utilizza i BotIDs (memorizzati come TOKEN_BOT) per stabilire il collegamento tra il bot principale e i vari ChatID (memorizzati come CHAT_ID). I ChatID sono canali Telegram con varie proprietà, ma servono principalmente per ospitare dati esfiltrati e fornire aggiornamenti e notifiche agli operatori.
Considerazioni finali
Dal nostro punto di vista, la scoperta del PXA Stealer evidenzia come le minacce informatiche stiano diventando sempre più sofisticate e difficili da rilevare. La capacità di questi attori di monetizzare i dati rubati attraverso piattaforme automatizzate rappresenta una sfida significativa per la sicurezza informatica globale. Riteniamo che sia fondamentale per le organizzazioni rimanere vigili e adottare misure proattive per proteggere i propri dati e sistemi da queste minacce in continua evoluzione.
Fonte: The Hackers News
