PXA Stealer Distributed via Telegram Harvests 200K Passwords and Credit Card Data

SentinelLABS和Beazley Security发现了一个复杂的信息窃取活动，部署基于Python的PXA窃取器。该恶意软件自2024年底以来迅速发展，融入了高级反分析技术、诱饵内容和强化的命令与控制（C2）基础设施。

此操作与越南语网络犯罪网络有关，利用Telegram的API进行自动化数据外泄和货币化，数据流入Sherlock等地下市场进行转售。对外泄日志的分析显示，至少有62个国家的超过4000个独特受害者IP地址，主要集中在韩国、美国、荷兰、匈牙利和奥地利。

被盗数据包括超过20万个独特密码、数百条信用卡记录和超过400万浏览器cookie，使威胁行为者能够广泛访问受害者的账户、财务数据和加密货币资产。通过武器化合法平台如Telegram、Cloudflare Workers和Dropbox，该活动最小化运营开销，同时实现实时数据收集和下流犯罪活动如账户接管和加密货币盗窃。

目标全球受害者

威胁行为者在2025年全年改进了他们的策略，从最初的Windows可执行负载转向更隐蔽的基于Python的变体。2025年4月的早期攻击波涉及网络钓鱼诱饵，提供压缩档案，其中包含通过恶意DLL侧载的已签名Haihaisoft PDF阅读器可执行文件，这些文件通过Windows注册表键建立持久性，并从Dropbox获取额外组件。

多阶段链

这些链使用certutil解码嵌入的伪装为畸形PDF的RAR档案，随后通过WinRAR提取Python依赖项，包括重命名的Python 3.10解释器（svchost.exe），以部署窃取器。到7月，感染链成熟，纳入重命名为文档的Microsoft Word 2013二进制文件以引诱受害者，通过msvcr100.dll侧载以启动隐藏命令提示符。此阶段打开良性诱饵文档如Tax-Invoice-EV.docx，具有虚假版权声明以分散用户和分析师的注意力，同时通过重命名的WinRAR工具（例如images.png）解码和提取加密ZIP档案。该过程延迟执行，经常导致沙箱超时和假阴性，然后运行带有BOT_ID参数的混淆Python脚本以枚举和外泄数据。

复杂负载

PXA窃取器针对大量敏感数据，从基于Chromium和Gecko的浏览器如Chrome、Edge和Opera变体中解密密码、cookie、自动填充条目和令牌。它注入DLL以绕过浏览器加密，如Chrome的应用绑定加密密钥，并从加密货币钱包（例如Exodus、Atomic）、VPN客户端、云实用程序和应用程序如Discord和Telegram中收集文件。优先处理来自金融平台如Binance、Coinbase和PayPal的网站特定凭据，数据打包成ZIP档案（例如[CC_IPADDRESS]_HOSTNAME.zip）并通过Cloudflare Workers中继到Telegram机器人。

关键基础设施包括Bot Token 7414494371:AAHsrQDkPrEVyz9z0RoiRS5fJKI-ihKJpzQ和Chat ID -1002698513801，变体与标识符如ADN_2_NEW_VER_BOT和MRB_NEW_VER_BOT相关联，通常具有越南语工件。根据报告，归因指向使用paste.rs和0x0.st进行负载托管的操作者，与Cisco Talos先前报告的活动有关。

受害者数据显示自2024年10月以来的持续活动，某些机器人偏好以色列和台湾等地区，突显了该活动的全球覆盖和自动化驱动的效率。这种升级突显了一种趋势，即像PXA这样的信息窃取器与Telegram生态系统集成以实现无缝货币化，通过混合合法工具和诱饵的复杂交付方法挑战防御者以逃避检测。随着这些威胁通过Sherlock等服务自动化转售，组织必须优先考虑行为分析和基础设施监控以对抗此类弹性操作。

妥协指标（IOCs）