![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科越南黑客操纵 PXA 恶意软件,攻陷全球 4000 台设备并盗取 20 万密码](https://www.anquan114.com/wp-content/uploads/2025/01/20250103122601238-image-1024x374.png)
网络安全研究人员近期警示新型Python信息窃取木马“PXA Stealer”的传播活动。据Beazley Security与SentinelOne联合报告(已提交至The Hacker News),该恶意活动被判定为越南黑客操纵PXA恶意软件,全球攻陷4000台设备盗取20万密码语黑客团伙所为,其通过Telegram API构建订阅制地下生态,自动化转售和复用窃取数据以实现变现。
“此次攻击展现出技术手段的飞跃,融合了精细的反分析技术、非恶意诱饵内容,以及阻碍安全分析并延缓检测的强化命令控制管道”,安全研究员团队(Jim Walter、Alex Delamotte等)指出。此轮攻击已感染62个国家超4000个独立IP地址,韩国、美国、荷兰、匈牙利及奥地利为重灾区,窃取数据涵盖20多万组独立密码、数百条信用卡记录及超400万条浏览器Cookie。
PXA Stealer最早由思科Talos于2024年11月曝光,被用于针对欧亚政府及教育机构的攻击。该木马可窃取密码、浏览器自动填充数据、加密货币钱包及金融机构信息。其通过Telegram外泄数据至Sherlock等犯罪平台(专门交易窃取日志),下游攻击者可购买信息实施加密货币盗窃或渗透组织进行后续攻击,形成规模化运行的网络犯罪生态。
2025年的攻击活动呈现持续战术演变:攻击者采用DLL侧加载技术和复杂的分阶段部署层规避检测。恶意DLL执行感染全流程,最终部署窃密木马前会向受害者展示版权侵权通知等诱饵文档。新版木马通过向Chromium浏览器进程注入DLL突破“应用绑定加密保护”机制,并窃取VPN客户端、云命令行工具(CLI)、共享文件及Discord等应用数据。
“PXA Stealer利用BotID(存储为TOKEN_BOT)建立主机器人与多个ChatID(存储为CHAT_ID)的关联。ChatID对应的Telegram频道主要用于托管外泄数据,并向操作者推送更新通知”,研究人员解释称,“该威胁已发展为高度规避的多阶段攻击,由越南语攻击者驱动,其明显关联于有组织的、基于Telegram的黑市——专门销售受害者数据。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容