PXA Stealer похитил 200 000 паролей и 4 млн файлов cookie - «Новости» » Интернет технологии
sitename
Intel Core Ultra 290K, 270K и 250K получат увеличенные частоты, больше E-ядер и поддержку DDR5-7200 - «Новости сети»
Intel Core Ultra 290K, 270K и 250K получат увеличенные частоты, больше E-ядер и поддержку DDR5-7200 - «Новости сети»
 Первое платное обновление безопасности для Windows 10 принесло в старую ОС новые ошибки - «Новости сети»
Первое платное обновление безопасности для Windows 10 принесло в старую ОС новые ошибки - «Новости сети»
 Microsoft увидела негативную реакцию пользователей на пост о будущем Windows 11 - «Новости сети»
Microsoft увидела негативную реакцию пользователей на пост о будущем Windows 11 - «Новости сети»
 В «Ростелекоме» заявили, что вчерашние сбои в работе интернета были вызваны вмешательством третьих лиц - «Новости сети»
В «Ростелекоме» заявили, что вчерашние сбои в работе интернета были вызваны вмешательством третьих лиц - «Новости сети»
 Игровой движок Unreal Engine 6 выпустят значительно раньше ожидаемого - «Новости сети»
Игровой движок Unreal Engine 6 выпустят значительно раньше ожидаемого - «Новости сети»
 Группировка Konni использует Google Find Hub для удаленного уничтожения данных - «Новости»
Группировка Konni использует Google Find Hub для удаленного уничтожения данных - «Новости»
 «Королеву биткоинов» приговорили к 11 годам тюрьмы - «Новости»
«Королеву биткоинов» приговорили к 11 годам тюрьмы - «Новости»
 Пароли «123456», «admin» и «password» по-прежнему входят в десятку самых популярных - «Новости»
Пароли «123456», «admin» и «password» по-прежнему входят в десятку самых популярных - «Новости»
 Антивирус Triofox применялся для развертывания инструментов удаленного доступа - «Новости»
Антивирус Triofox применялся для развертывания инструментов удаленного доступа - «Новости»
 Россиянин признал себя виновным в продаже доступов операторам вымогателя Yanluowang - «Новости»
Россиянин признал себя виновным в продаже доступов операторам вымогателя Yanluowang - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » PXA Stealer похитил 200 000 паролей и 4 млн файлов cookie - «Новости»

✔PXA Stealer похитил 200 000 паролей и 4 млн файлов cookie - «Новости»

07 августа 2025 25 Новости / Изображения / Заработок / Преимущества стилей / Вёрстка / Текст 0

Аналитики из компаний Beazley Security и SentinelOne предупредили о кампании по распространению обновленного инфостилера PXA Stealer, написанного на Python. По данным исследователей, стилер уже скомпрометировал более 4000 жертв в 62 странах мира.


Исследователи считают, что за PXA Stealer стоят вьетнамоязычные хакеры. Похищенные у жертв данные они монетизируют, продавая их другим преступникам через Telegram, и даже имеют собственную систему платных подписок.


«Эта находка демонстрирует значительный прогресс в тактиках атак: теперь используются более продвинутые методы антианализа, невредоносный фальшивый контент для приманок и защищенная управляющая инфраструктура, что затягивает детектирование и затрудняет расследование», — говорят эксперты.


В настоящее время активность стилера затронула более 4000 уникальных IP-адресов в 62 странах (включая Южную Корею, США, Нидерланды, Венгрию и Австрию). PXA Stealer похитил: свыше 200 000 уникальных паролей, данные сотен банковских карт и более 4 млн файлов cookie из браузеров жертв.


Впервые PXA Stealer был обнаружен аналитиками Cisco Talos в ноябре 2024 года. Тогда его в основном использовали для атак на правительственные и образовательные учреждения в странах Европы и Азии. Этот вредонос способен воровать пароли, данные автозаполнения браузера, информацию о криптовалютных кошельках и данные из банковских приложений.


Украденные данные передаются операторам малвари через Telegram, а после попадают на такие хакерские платформы, как Sherlock, торгующие логами. Там их могут приобрести другие злоумышленники, например, с целью кражи криптовалюты или дальнейших атак на организации.


Как теперь сообщили Beazley Security и SentinelOne, в 2025 году тактики распространения стилера стали более изощренными. Атакующие начали использовать DLL side-loading и многоступенчатые схемы запуска малвари, чтобы дольше оставаться незамеченными.





К примеру, в апреле текущего года злоумышленники использовали фишинговые письма, чтобы вынудить жертв загрузить архив, содержащий подписанную копию Haihaisoft PDF Reader вместе с вредоносной DLL-библиотекой.


Вредоносная DLL отвечает за выполнение всех шагов заражения и в какой-то момент показывает жертве приманку (например, фальшивое уведомление о нарушении авторских прав). После этого в систему внедряется стилер.


Кроме того, обновленная версия PXA Stealer умеет извлекать cookie из браузеров на базе Gecko и Chromium (путем внедрения DLL в работающие процессы, обходя защиту App-Bound Encryption) и похищает  данные VPN-клиентов, облачных CLI-интерфейсов, подключенных сетевых ресурсов, а также  ряда других приложений, включая Discord.


«PXA Stealer использует идентификаторы бота (TOKEN_BOT), чтобы связать основной бот с Telegram-каналами (CHAT_ID), — поясняют исследователи. — За ChatID стоят разные каналы в Telegram, но в основном они используются для приема похищенных данных и отправки уведомлений операторам. Идея использования легитимной инфраструктуры Telegram продиктована желанием автоматизировать хищение данных и упростить процесс их продажи, что позволяет злоумышленникам эффективнее доставлять информацию другим преступникам».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Аналитики из компаний Beazley Security и SentinelOne предупредили о кампании по распространению обновленного инфостилера PXA Stealer, написанного на Python. По данным исследователей, стилер уже скомпрометировал более 4000 жертв в 62 странах мира. Исследователи считают, что за PXA Stealer стоят вьетнамоязычные хакеры. Похищенные у жертв данные они монетизируют, продавая их другим преступникам через Telegram, и даже имеют собственную систему платных подписок. «Эта находка демонстрирует значительный прогресс в тактиках атак: теперь используются более продвинутые методы антианализа, невредоносный фальшивый контент для приманок и защищенная управляющая инфраструктура, что затягивает детектирование и затрудняет расследование», — говорят эксперты. В настоящее время активность стилера затронула более 4000 уникальных IP-адресов в 62 странах (включая Южную Корею, США, Нидерланды, Венгрию и Австрию). PXA Stealer похитил: свыше 200 000 уникальных паролей, данные сотен банковских карт и более 4 млн файлов cookie из браузеров жертв. Впервые PXA Stealer был обнаружен аналитиками Cisco Talos в ноябре 2024 года. Тогда его в основном использовали для атак на правительственные и образовательные учреждения в странах Европы и Азии. Этот вредонос способен воровать пароли, данные автозаполнения браузера, информацию о криптовалютных кошельках и данные из банковских приложений. Украденные данные передаются операторам малвари через Telegram, а после попадают на такие хакерские платформы, как Sherlock, торгующие логами. Там их могут приобрести другие злоумышленники, например, с целью кражи криптовалюты или дальнейших атак на организации. Как теперь сообщили Beazley Security и SentinelOne, в 2025 году тактики распространения стилера стали более изощренными. Атакующие начали использовать DLL side-loading и многоступенчатые схемы запуска малвари, чтобы дольше оставаться незамеченными. К примеру, в апреле текущего года злоумышленники использовали фишинговые письма, чтобы вынудить жертв загрузить архив, содержащий подписанную копию Haihaisoft PDF Reader вместе с вредоносной DLL-библиотекой. Вредоносная DLL отвечает за выполнение всех шагов заражения и в какой-то момент показывает жертве приманку (например, фальшивое уведомление о нарушении авторских прав). После этого в систему внедряется стилер. Кроме того, обновленная версия PXA Stealer умеет извлекать cookie из браузеров на базе Gecko и Chromium (путем внедрения DLL в работающие процессы, обходя защиту App-Bound Encryption) и похищает данные VPN-клиентов, облачных CLI-интерфейсов, подключенных сетевых ресурсов, а также ряда других приложений, включая Discord. «PXA Stealer использует идентификаторы бота (TOKEN_BOT), чтобы связать основной бот с Telegram-каналами (CHAT_ID), — поясняют исследователи. — За ChatID стоят разные каналы в Telegram, но в основном они используются для приема похищенных данных и отправки уведомлений операторам. Идея использования легитимной инфраструктуры Telegram продиктована желанием автоматизировать хищение данных и упростить процесс их продажи, что позволяет злоумышленникам эффективнее доставлять информацию другим преступникам».
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: