A SentinelLABS és a Beazley Security szakértői A, amely a Python alapú PXA Stealer eszközt alkalmazza. A támadássorozat 2024 vége óta dinamikusan fejlődött, mára fejlett elemzésellenes technikákat, álca-dokumentumokat és megerősített C2 infrastruktúrát használ. A műveletet vietnámi nyelvű kiberbűnözői hálózatokhoz kötik, akik Telegram API-t alkalmaznak az ellopott adatok automatizált exfiltrációjára és értékesítésére. Az adatokat jellemzően olyan feketepiaci platformokon értékesítik, mint például a Sherlock.
A PXA Stealer által kompromittált adatok között több mint 200 000 egyedi jelszó, több száz hitelkártya-adat, valamint 4 millió böngészős süti található. Ezek a támadók számára széleskörű hozzáférést biztosítanak online fiókokhoz, pénzügyi szolgáltatásokhoz és kriptovalutákhoz.
2025 során a támadók egyre kifinomultabb technikákat alkalmaztak. Kezdetben Windows futtatható állományokat használtak, majd áttértek Python alapú, nehezebben észlelhető változatokra. Az áprilisi hullámban fertőzött archívumok, hamis PDF-olvasók és DLL side-loading volt jellemző, míg júliusra a fertőzési lánc már Microsoft Word fájlokat, rejtett parancssorokat és álca-dokumentumokat is alkalmazott az észlelés kijátszására.
A PXA Stealer kifejezetten a Chromium és Gecko alapú böngészők (pl. Chrome, Edge, Firefox) érzékeny adatait célozza. A támadók titkosítást megkerülő DLL-eket használnak, kriptotárcák, VPN kliensek, felhőszolgáltatások és közösségi appok (pl. Discord, Telegram) adatait is képesek megszerezni.
Az infrastruktúra kulcseleme a Telegram bot integráció, amelyen keresztül a ZIP-archívumba csomagolt adatok (pl. [CC_IPCÍM]_GÉPNÉV.zip) valós időben kerülnek továbbításra. A kampány során több mint 62 országban azonosítottak áldozatokat, köztük Magyarországon is, különösen nagy számban Dél-Koreában, az USA-ban és Hollandiában.
Ez az eset rávilágít arra, milyen hatékonyan képesek a modern adatszivárogtató eszközök egyesíteni a legitim platformokat a bűnözői célokkal. A védekezéshez elengedhetetlen a viselkedéselemzésen alapuló és infrastruktúra-központú megközelítés.
Indikátorok
| Típus | Érték | Megjegyzés |
| SHA-1 Hash | 05a8e10251a29faf31d7da5b9adec4be90816238 | First-Stage Dropper (archive) |
| SHA-1 Hash | 5b60e1b7458cef383c45998204bbaac5eacbb7ee | First-Stage Dropper (archive) |
| SHA-1 Hash | 612f61b2084820a1fcd5516dc74a23c1b6eaa105 | First-Stage Dropper (archive) |
| SHA-1 Hash | 61a0cb64ca1ba349550176ef0f874dd28eb0abfa | First-Stage Dropper (archive) |
| SHA-1 Hash | 6393b23bc20c2aaa71cb4e1597ed26de48ff33e2 | First-Stage Dropper (archive) |
| SHA-1 Hash | 65c11e7a61ac10476ed4bfc501c27e2aea47e43a | First-Stage Dropper (archive) |
| SHA-1 Hash | 6eb1902ddf85c43de791e86f5319093c46311071 | First-Stage Dropper (archive) |
| SHA-1 Hash | 70b0ce86afebb02e27d9190d5a4a76bae6a32da7 | First-Stage Dropper (archive) |
| SHA-1 Hash | 7c9266a3e7c32daa6f513b6880457723e6f14527 | First-Stage Dropper (archive) |
| SHA-1 Hash | 7d53e588d83a61dd92bce2b2e479143279d80dcd | First-Stage Dropper (archive) |
| SHA-1 Hash | 7e505094f608cafc9f174db49fbb170fe6e8c585 | First-Stage Dropper (archive) |
| SHA-1 Hash | ae8d0595724acd66387a294465b245b4780ea264 | First-Stage Dropper (archive) |
| SHA-1 Hash | b53ccd0fe75b8b36459196b666b64332f8e9e213 | First-Stage Dropper (archive) |
| SHA-1 Hash | bfed04e6da375e9ce55ad107aa96539f49899b85 | First-Stage Dropper (archive) |
| SHA-1 Hash | c46613f2243c63620940cc0190a18e702375f7d7 | First-Stage Dropper (archive) |
| SHA-1 Hash | c5407cc07c0b4a1ce4b8272003d5eab8cdb809bc | First-Stage Dropper (archive) |
| SHA-1 Hash | c9caba0381624dec31b2e99f9d7f431b17b94a32 | First-Stage Dropper (archive) |
| SHA-1 Hash | ca6912da0dc4727ae03b8d8a5599267dfc43eee9 | First-Stage Dropper (archive) |
| SHA-1 Hash | d0b137e48a093542996221ef40dc3d8d99398007 | First-Stage Dropper (archive) |
| SHA-1 Hash | d1a5dff51e888325def8222fdd7a1bd613602bef | First-Stage Dropper (archive) |
| SHA-1 Hash | deace971525c2cdba9780ec49cc5dd26ac3a1f27 | First-Stage Dropper (archive) |
| Domain | paste[.]rs | Code hosting site |
| URL | hxxps://paste[.]rs/Plk1y | – |
| URL | hxxps://paste[.]rs/5DJ0P | – |
| URL | hxxps://paste[.]rs/oaCzj | – |
