- 19,532
- 40
- 8 Ноя 2022
Вы всё сделали правильно, именно поэтому кампания сработала.
Специалисты SentinelLABS и Beazley Security Для просмотра ссылки Войдиили Зарегистрируйся масштабную кибершпионскую кампанию, в центре которой оказался Python-инфостилер PXA Stealer. За последние месяцы вредонос достиг нового уровня маскировки и автоматизации, превратившись в один из самых труднообнаружимых инструментов киберпреступников, работающих через Telegram-инфраструктуру.
С момента появления PXA Stealer в конце 2024 года, его архитектура претерпела значительные изменения. Последняя активная волна атак, начавшаяся в июле 2025 года, демонстрирует особенно продвинутую тактику. Вредонос распространяется в виде архива с легитимным исполняемым файлом — например, Microsoft Word 2013 или Haihaisoft PDF Reader — и модифицированной библиотекой DLL, запускаемой методом сайдлоадинга. После активации вредонос разворачивает сложную цепочку, где ключевые этапы маскируются под безобидные действия, включая открытие поддельных документов, а также извлечение вредоносных компонентов из специально сформированных PDF и PNG-файлов.
Критическим элементом атаки остаётся использование Telegram как канала связи и эксфильтрации данных. Управление ботами происходит через API Telegram, а для сокрытия следов применяется маршрутизация через Для просмотра ссылки Войдиили Зарегистрируйся . Каждое заражение получает уникальный идентификатор, который сопоставляется с конкретным Telegram-ботом и каналом. Выгруженные данные содержат Для просмотра ссылки Войди или Зарегистрируйся с паролями, cookies, токенами, файлами криптокошельков, данными автозаполнения, учетными записями мессенджеров, <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> и даже SSH-ключами.
Жертвами стали более 4000 уникальных IP-адресов из 62 стран, включая Южную Корею, США, Нидерланды, Австрию и Венгрию. В некоторых случаях вредоносное ПО предпочитало конкретные регионы: например, бот ADN_2_NEW_VER_BOT особенно активно действовал в Израиле и на Тайване.
PXA Stealer поддерживает кражу информации из более чем 50 браузеров, включая Chrome, Edge, Brave, Opera, Vivaldi, Whale и CocCoc. Также целевыми оказываются десятки браузерных криптовалютных расширений, таких как <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>Mask, Trust Wallet, Exodus, Uniswap и Tonkeeper. Помимо этого, сканируются десктопные кошельки и приложения — от Armory и Monero до FileZilla, KeePass и ProtonVPN.
Обнаруженные данные подтверждают, что злоумышленники действуют через единый Telegram-бот Logs_Data_bot, настраивая несколько каналов: для получения новых логов, уведомлений и сброса данных. Названия каналов, вроде "James – New Logs" или "MRB – Reset Logs", напрямую указывают на автоматизированную природу операции. За всеми этими псевдонимами скрываются аккаунты пользователей Telegram, маскирующиеся под ботов, но управляемые вручную.
Для просмотра ссылки Войдиили Зарегистрируйся не только извлекает данные, но и маскирует трафик. Благодаря HTTPS и отсутствию запускаемых клиентских процессов Telegram, активность не выделяется на уровне сетевого анализа. Сам эксфильтруемый архив получает имя по формату, включающему IP-адрес и имя хоста жертвы.
По данным анализа, все зафиксированные цепочки ведут к одному Telegram BotID, встроенному в каждую вредоносную сборку. Через него также обнаружена связь с сайтом probiv[.]gg, откуда осуществляется перенаправление на бот Sherlock — автоматизированный поисковый сервис по базе украденных логов. Это подтверждает, что украденная информация сразу же попадает в криминальную инфраструктуру, где проходит нормализацию, категоризацию и далее продаётся через Telegram-ботов вроде SherLock1u_BOT.
Важным элементом продуманной схемы стало внедрение в финальный этап поддельного Python-интерпретатора, замаскированного под системный процесс svchost.exe, что позволяет вредоносному скрипту работать незаметно в пользовательском пространстве. Использование архивов с расширениями PNG и PDF дополнительно усложняет анализ.
Авторы вредоносной кампании, по оценке аналитиков, действуют из вьетнамоязычного сегмента киберпреступного сообщества. Они не просто продают логи, а выстраивают цепочку — от кражи данных до их доставки клиенту. Telegram выступает в этом процессе как дешёвый, эффективный и почти не контролируемый посредник.
Данная кампания демонстрирует опасный тренд: автоматизация атак, опора на легитимную инфраструктуру, и полная интеграция в теневую экономику. PXA Stealer — не просто очередной вредонос. Это часть криминального конвейера, где каждый бот, канал и токен имеет своё место в цепи поставки краденых данных.
Специалисты SentinelLABS и Beazley Security Для просмотра ссылки Войди
С момента появления PXA Stealer в конце 2024 года, его архитектура претерпела значительные изменения. Последняя активная волна атак, начавшаяся в июле 2025 года, демонстрирует особенно продвинутую тактику. Вредонос распространяется в виде архива с легитимным исполняемым файлом — например, Microsoft Word 2013 или Haihaisoft PDF Reader — и модифицированной библиотекой DLL, запускаемой методом сайдлоадинга. После активации вредонос разворачивает сложную цепочку, где ключевые этапы маскируются под безобидные действия, включая открытие поддельных документов, а также извлечение вредоносных компонентов из специально сформированных PDF и PNG-файлов.
Критическим элементом атаки остаётся использование Telegram как канала связи и эксфильтрации данных. Управление ботами происходит через API Telegram, а для сокрытия следов применяется маршрутизация через Для просмотра ссылки Войди
Жертвами стали более 4000 уникальных IP-адресов из 62 стран, включая Южную Корею, США, Нидерланды, Австрию и Венгрию. В некоторых случаях вредоносное ПО предпочитало конкретные регионы: например, бот ADN_2_NEW_VER_BOT особенно активно действовал в Израиле и на Тайване.
PXA Stealer поддерживает кражу информации из более чем 50 браузеров, включая Chrome, Edge, Brave, Opera, Vivaldi, Whale и CocCoc. Также целевыми оказываются десятки браузерных криптовалютных расширений, таких как <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>Mask, Trust Wallet, Exodus, Uniswap и Tonkeeper. Помимо этого, сканируются десктопные кошельки и приложения — от Armory и Monero до FileZilla, KeePass и ProtonVPN.
Обнаруженные данные подтверждают, что злоумышленники действуют через единый Telegram-бот Logs_Data_bot, настраивая несколько каналов: для получения новых логов, уведомлений и сброса данных. Названия каналов, вроде "James – New Logs" или "MRB – Reset Logs", напрямую указывают на автоматизированную природу операции. За всеми этими псевдонимами скрываются аккаунты пользователей Telegram, маскирующиеся под ботов, но управляемые вручную.
Для просмотра ссылки Войди
По данным анализа, все зафиксированные цепочки ведут к одному Telegram BotID, встроенному в каждую вредоносную сборку. Через него также обнаружена связь с сайтом probiv[.]gg, откуда осуществляется перенаправление на бот Sherlock — автоматизированный поисковый сервис по базе украденных логов. Это подтверждает, что украденная информация сразу же попадает в криминальную инфраструктуру, где проходит нормализацию, категоризацию и далее продаётся через Telegram-ботов вроде SherLock1u_BOT.
Важным элементом продуманной схемы стало внедрение в финальный этап поддельного Python-интерпретатора, замаскированного под системный процесс svchost.exe, что позволяет вредоносному скрипту работать незаметно в пользовательском пространстве. Использование архивов с расширениями PNG и PDF дополнительно усложняет анализ.
Авторы вредоносной кампании, по оценке аналитиков, действуют из вьетнамоязычного сегмента киберпреступного сообщества. Они не просто продают логи, а выстраивают цепочку — от кражи данных до их доставки клиенту. Telegram выступает в этом процессе как дешёвый, эффективный и почти не контролируемый посредник.
Данная кампания демонстрирует опасный тренд: автоматизация атак, опора на легитимную инфраструктуру, и полная интеграция в теневую экономику. PXA Stealer — не просто очередной вредонос. Это часть криминального конвейера, где каждый бот, канал и токен имеет своё место в цепи поставки краденых данных.
- Источник новости
- www.securitylab.ru
