Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Campagnes d'attaques de voleurs de PXA

Campagnes d'attaques de voleurs de PXA

Par Mezo en Logiciels malveillants, Les voleurs
Se traduisent par :

Les chercheurs en cybersécurité tirent la sonnette d'alarme face à une nouvelle vague de campagnes promouvant PXA Stealer, un malware basé sur Python spécialement conçu pour collecter les données sensibles des utilisateurs. Ce voleur d'informations sophistiqué est attribué à un groupe de cybercriminels vietnamiens, qui l'exploitent au sein d'un écosystème clandestin basé sur les abonnements. Cette campagne se distingue par son intégration aux API de Telegram, permettant de monétiser, revendre et réutiliser rapidement les données volées avec une intervention humaine minimale.

Infections généralisées et vols de données alarmants

La portée de PXA Stealer est vaste. Plus de 4 000 adresses IP uniques réparties dans 62 pays ont été compromises. Les régions touchées incluent les États-Unis, la Corée du Sud, les Pays-Bas, la Hongrie et l'Autriche.

L’ampleur des données volées est significative :

  • Plus de 200 000 mots de passe uniques
  • Des centaines de dossiers de cartes de crédit
  • Plus de 4 millions de cookies de navigateur

Initialement repérées en novembre 2024, les campagnes de vol de PXA ciblaient des institutions gouvernementales et éducatives en Europe et en Asie. Depuis, elles ont évolué pour extraire un large éventail de données, notamment :

  • Mots de passe et données de remplissage automatique des navigateurs
  • Informations d'identification du portefeuille de crypto-monnaie
  • Configurations du client VPN
  • Informations provenant des outils CLI cloud et de Discord
  • Partages de réseaux connectés et plateformes financières

Télégramme : Le centre névralgique de l’opération

Les données exfiltrées sont acheminées via les canaux Telegram, où elles sont stockées et surveillées. PXA Stealer utilise les BotID (TOKEN_BOT) pour relier les bots à leurs ChatID correspondants (CHAT_ID). Ces canaux servent de référentiels pour les informations volées et de plateforme de communication pour les notifications des acteurs malveillants.

Ces données volées sont acheminées vers des plateformes illicites telles que Sherlock, une place de marché spécialisée dans les journaux de vol. D'autres cybercriminels peuvent alors les acquérir pour commettre des vols de cryptomonnaies ou pénétrer les réseaux d'entreprise, alimentant ainsi une chaîne d'approvisionnement cybercriminelle en pleine expansion.

Techniques commerciales avancées et tactiques d’évasion

Les campagnes récentes de 2025 ont démontré des avancées techniques notables. Les opérateurs utilisent désormais des techniques de chargement latéral de DLL et des stratégies de mise en scène multicouches pour éviter la détection et entraver l'analyse forensique. Un aspect trompeur de la chaîne d'attaque consiste à afficher un faux document, tel qu'un faux avis de violation de droits d'auteur, tandis que les opérations malveillantes se déroulent discrètement en arrière-plan.

Parmi les améliorations les plus importantes des nouvelles versions de PXA Stealer figure sa capacité à extraire les cookies chiffrés des navigateurs basés sur Chromium. Pour ce faire, il injecte une DLL dans les processus actifs, contournant ainsi les protections de chiffrement au niveau des applications.

Techniques clés derrière l’opération

La campagne présente plusieurs tactiques déterminantes :

Défenses anti-analyse : conçues pour retarder la détection et contrecarrer les efforts de rétro-ingénierie.

Livraison de charge utile par étapes : chaînes d'infection complexes utilisant des DLL chargées latéralement.

Contenu leurre : fichiers non malveillants utilisés pour masquer une activité malveillante.

Infrastructure C2 basée sur Telegram : pipeline de communication renforcé utilisé pour le commandement, le contrôle et l'exfiltration de données.

Vue d’ensemble : un marché souterrain en pleine croissance

Ce qui a commencé comme un voleur de Python est devenu une cyberopération mature et multi-étapes. Ce n'est pas seulement le malware qui est avancé, mais aussi l'écosystème qui l'entoure, comme les places de marché basées sur Telegram, les canaux de revente de données automatisés et les pipelines de monétisation organisés.

Ces évolutions illustrent à quel point la cybercriminalité moderne est devenue plus agile, évolutive et étroitement liée aux outils de communication chiffrés. PXA Stealer illustre parfaitement la manière dont les acteurs malveillants adaptent leurs outils et leurs activités pour anticiper les détections et maximiser leurs profits dans l'économie cybercriminelle actuelle.

Tendance

Escroquerie par e-mail avec échec de vérification

Hameçonnage, Courrier indésirable
Les escroqueries en ligne évoluent rapidement, et les campagnes d'hameçonnage restent l'une des tactiques les plus courantes des cybercriminels. Parmi celles-ci, l'arnaque par e-mail de vérification échouée est une campagne frauduleuse conçue pour inciter les destinataires à révéler des informations sensibles. Ces e-mails ne sont liés à aucune entreprise, organisation ou fournisseur de services...

Le plus regardé

Chargement...