PXA-Stealer-Angriffskampagnen
Cybersicherheitsforscher schlagen Alarm wegen einer neuen Welle von Kampagnen, die PXA Stealer verbreiten, eine Python-basierte Schadsoftware, die speziell zum Abgreifen sensibler Nutzerdaten entwickelt wurde. Dieser ausgeklügelte Infostealer wird einer Gruppe vietnamesischsprachiger Cyberkrimineller zugeschrieben, die ihn in einem abonnementbasierten Untergrund-Ökosystem einsetzen. Das Besondere an dieser Kampagne ist die Integration mit Telegram-APIs. Dadurch können gestohlene Daten schnell und mit minimalem menschlichem Eingriff monetarisiert, weiterverkauft und wiederverwendet werden.
Inhaltsverzeichnis
Weit verbreitete Infektionen und alarmierender Datendiebstahl
Die Reichweite von PXA Stealer ist enorm. Mehr als 4.000 eindeutige IP-Adressen in 62 Ländern wurden kompromittiert. Zu den betroffenen Regionen zählen die USA, Südkorea, die Niederlande, Ungarn und Österreich.
Das Ausmaß der gestohlenen Daten ist erheblich:
- Über 200.000 einzigartige Passwörter
- Hunderte von Kreditkartendatensätzen
- Mehr als 4 Millionen Browser-Cookies
PXA-Stealer-Kampagnen wurden erstmals im November 2024 entdeckt und zielten auf Regierungs- und Bildungseinrichtungen in Europa und Asien ab. Seitdem hat sich die Malware weiterentwickelt und extrahiert nun ein breites Spektrum an Daten, darunter:
- Passwörter und Autofill-Daten aus Browsern
- Anmeldeinformationen für Kryptowährungs-Wallets
- VPN-Clientkonfigurationen
- Informationen von Cloud-CLI-Tools und Discord
- Verbundene Netzwerkaktien und Finanzplattformen
Telegramm: Das Nervenzentrum der Operation
Exfiltrierte Daten werden über Telegram-Kanäle weitergeleitet, wo sie gespeichert und überwacht werden. PXA Stealer verwendet BotIDs (TOKEN_BOT), um Bots mit ihren entsprechenden ChatIDs (CHAT_ID) zu verknüpfen. Diese Kanäle dienen als Speicher für gestohlene Informationen und als Kommunikationsknotenpunkt für Benachrichtigungen von Bedrohungsakteuren.
Die gestohlenen Daten werden auf illegale Plattformen wie Sherlock übertragen, einem Marktplatz für Diebstahlprotokolle. Dort können andere Cyberkriminelle die Daten kaufen, um Krypto-Diebstähle durchzuführen oder in Unternehmensnetzwerke einzudringen. So wird eine schnell wachsende Lieferkette für Cyberkriminelle aufgebaut.
Fortgeschrittene Spionage- und Ausweichtaktiken
Jüngste Kampagnen im Jahr 2025 haben bemerkenswerte technische Fortschritte gezeigt. Die Betreiber setzen nun DLL-Sideloading-Techniken und mehrschichtige Staging-Strategien ein, um eine Erkennung zu vermeiden und forensische Analysen zu erschweren. Ein trügerischer Aspekt der Angriffskette ist die Anzeige eines Scheindokuments, beispielsweise eines gefälschten Hinweises auf eine Urheberrechtsverletzung, während die böswilligen Operationen im Hintergrund unbemerkt ablaufen.
Zu den wichtigsten Verbesserungen der neueren Varianten von PXA Stealer gehört die Fähigkeit, verschlüsselte Cookies aus Chromium-basierten Browsern zu extrahieren. Dies geschieht durch das Einfügen einer DLL in aktive Prozesse, wodurch der Verschlüsselungsschutz auf Anwendungsebene effektiv umgangen wird.
Wichtige Techniken hinter der Operation
Die Kampagne weist mehrere entscheidende Taktiken auf:
Anti-Analyse-Abwehr : Entwickelt, um die Erkennung zu verzögern und Reverse-Engineering-Bemühungen zu vereiteln.
Gestaffelte Nutzlastübermittlung : Komplexe Infektionsketten mithilfe seitlich geladener DLLs.
Lockvogelinhalt : Nicht schädliche Dateien, die zum Verbergen bösartiger Aktivitäten verwendet werden.
Telegrammbasierte C2-Infrastruktur : Gehärtete Kommunikationspipeline für Befehls-, Kontroll- und Datenexfiltration.
Das Gesamtbild: Ein wachsender Untergrundmarkt
Was als Python-Diebstahl begann, hat sich mittlerweile zu einer ausgereiften, mehrstufigen Cyber-Operation entwickelt. Nicht nur die Malware ist fortschrittlich, sondern auch das sie umgebende Ökosystem, wie zum Beispiel Telegram-basierte Marktplätze, automatisierte Kanäle zum Weiterverkauf von Daten und organisierte Monetarisierungs-Pipelines.
Diese Entwicklungen verdeutlichen, wie agiler und skalierbar die moderne Cyberkriminalität geworden ist und wie eng sie mit verschlüsselten Kommunikationstools verknüpft ist. PXA Stealer ist ein Paradebeispiel dafür, wie Bedrohungsakteure ihre Tools anpassen, um der Entdeckung immer einen Schritt voraus zu sein und ihre Gewinne in der heutigen Cyberkriminalitätswirtschaft zu maximieren.
