СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
05.08.2025
#Dev#ИБ#Инфра

Вьетнамская хак-группа с помощью PXA Stealer заразила 4000 IP-адресов и похитила более 200 тыс. паролей по всему миру

Вьетнамская хак-группа с помощью PXA Stealer заразила 4000 IP-адресов и похитила более 200 тыс. паролей по всему миру

Изображение: recraft

Исследователи кибербезопасности зафиксировали новую волну атак с использованием инфостилера PXA Stealer — вредоносного программного обеспечения на базе Python, предназначенного для кражи данных. Как говорится в совместном докладе Beazley Security и SentinelOne, переданном изданию The Hacker News, активность связана с киберпреступниками, говорящими на вьетнамском языке.

Они создали полноценную теневую инфраструктуру для автоматизированной перепродажи похищенной информации, используя Telegram в качестве канала для управления ботами и эксфильтрации данных.

По информации экспертов, злоумышленники атаковали более 4000 уникальных IP-адресов в 62 странах. Среди пострадавших — пользователи и организации в Южной Корее, США, Нидерландах, Венгрии, Австрии и других странах. В результате атак были скомпрометированы более 200 тыс. уникальных паролей, сотни платёжных данных и более 4 млн cookie-файлов, извлечённых из браузеров.

Как уточняется в исследовании, вредонос PXA Stealer позволяет собирать информацию из браузеров, криптокошельков и других приложений, а также данные автозаполнения и учётные записи финансовых сервисов. Заражённые системы подключаются к командным серверам, после чего похищенные данные через Telegram-ботов поступают в закрытые платформы, такие как Sherlock — сервис для дальнейшей монетизации логов. Эти данные впоследствии используются для атак на криптовалютные активы, кражи личных аккаунтов и взлома корпоративной инфраструктуры.

Авторы исследования — Джим Уолтер, Алекс Деламотт, Франсиско Доносо, Сэм Майерс, Телл Хауз и Бобби Венал — подчёркивают, что вредоносная кампания отличается повышенной устойчивостью к анализу и обнаружению. В коде PXA Stealer используются методы маскировки, ложные компоненты и зашифрованные каналы связи, что затрудняет отслеживание и реагирование на угрозу.

Впервые PXA Stealer был описан компанией Cisco Talos в ноябре 2024 года. Тогда вредонос использовался в атаках на учреждения в Европе и Азии. С тех пор инструментарий трояна расширился, и он стал частью более крупной и масштабируемой киберпреступной схемы, основанной на подписной модели, где доступ к украденным данным продаётся через API.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: