Pesquisadores de cibersegurança estão alertando sobre uma nova onda de campanhas que distribuem um stealer de informações baseado em Python chamado PXA Stealer.
A atividade maliciosa foi avaliada como obra de cibercriminosos que falam vietnamita, que monetizam os dados roubados por meio de um ecossistema underground baseado em assinatura que automatiza a revenda e reutilização via APIs do Telegram, de acordo com um relatório conjunto publicado pela Beazley Security e SentinelOne e compartilhado com o The Hacker News.
"Esta descoberta destaca um avanço na arte de enganar, incorporando técnicas anti-análise mais nuanceadas, conteúdo isca não malicioso e um pipeline de comando-e-controle endurecido que frustra a triagem e tenta atrasar a detecção", disseram os pesquisadores de segurança Jim Walter, Alex Delamotte, Francisco Donoso, Sam Mayers, Tell Hause e Bobby Venal.
As campanhas infectaram mais de 4.000 endereços IP únicos em 62 países, incluindo Coreia do Sul, Estados Unidos, Holanda, Hungria e Áustria.
Os dados capturados pelo stealer incluem mais de 200.000 senhas únicas, centenas de registros de cartões de crédito e mais de 4 milhões de cookies de navegadores colhidos.
O PXA Stealer foi documentado pela primeira vez pelo Cisco Talos em novembro de 2024, atribuindo-o a ataques direcionados a entidades governamentais e educacionais na Europa e na Ásia.
É capaz de colher senhas, dados de preenchimento automático do navegador, informações de carteiras de criptomoeda e instituições financeiras.
Os dados roubados pelo malware usando o Telegram como um canal de exfiltração são alimentados em plataformas criminosas como o Sherlock, um vendedor de logs de stealers, de onde atores de ameaças subsequentes podem comprar as informações para se envolver em roubo de criptomoedas ou infiltrar organizações para fins subsequentes, alimentando um ecossistema cibercriminoso que opera em larga escala.
Campanhas que distribuem o malware em 2025 testemunharam uma evolução tática constante, com os atores de ameaças empregando técnicas de side-loading de DLL e camadas de preparação elaboradas em um esforço para passar despercebidos.
A DLL maliciosa cuida de conduzir o restante dos passos na sequência de infecção, pavimentando o caminho para o deployment do stealer, mas não antes de tomar medidas para exibir um documento isca, como um aviso de violação de direitos autorais, para a vítima.
O stealer é uma versão atualizada com capacidades para extrair cookies de navegadores web baseados em Chromium injetando uma DLL em instâncias em execução com o objetivo de derrotar salvaguardas de criptografia vinculadas ao aplicativo.
Ele também saqueia dados de clientes VPN, utilitários de interface de linha de comando (CLI) na nuvem, fileshares conectados e aplicativos como o Discord.
“O PXA Stealer usa os BotIDs (armazenados como TOKEN_BOT) para estabelecer a ligação entre o bot principal e os vários ChatID (armazenados como CHAT_ID)", disseram os pesquisadores.
Os ChatIDs são canais do Telegram com várias propriedades, mas servem principalmente para hospedar dados exfiltrados e fornecer atualizações e notificações aos operadores.
"Essa ameaça desde então amadureceu em uma operação altamente evasiva, de múltiplos estágios, conduzida por atores de língua vietnamita com laços aparentes com um marketplace no Telegram baseado em ciber crimes que vende dados de vítimas roubados."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...