Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Campañas de ataque de los ladrones de PXA

Campañas de ataque de los ladrones de PXA

Por Mezo en Software malicioso, Ladrones
Traducir a:

Investigadores de ciberseguridad alertan sobre un nuevo aumento de campañas que impulsan PXA Stealer, un malware basado en Python, diseñado específicamente para recopilar datos confidenciales de los usuarios. Este sofisticado ladrón de información se atribuye a un grupo de ciberdelincuentes vietnamitas, quienes lo explotan dentro de un ecosistema clandestino basado en suscripciones. Lo que distingue a esta campaña es su integración con las API de Telegram, lo que permite monetizar, revender y reutilizar rápidamente los datos robados con mínima intervención humana.

Infecciones generalizadas y robo de datos alarmante

El alcance de PXA Stealer es extenso. Se han comprometido más de 4000 direcciones IP únicas en 62 países. Entre las regiones afectadas se incluyen Estados Unidos, Corea del Sur, Países Bajos, Hungría y Austria.

La magnitud de los datos robados es significativa:

  • Más de 200.000 contraseñas únicas
  • Cientos de registros de tarjetas de crédito
  • Más de 4 millones de cookies del navegador

Detectadas inicialmente en noviembre de 2024, las campañas de PXA Stealer se dirigieron a instituciones gubernamentales y educativas de Europa y Asia. Desde entonces, ha evolucionado para extraer una amplia gama de datos, incluyendo:

  • Contraseñas y datos de autocompletado de los navegadores
  • Credenciales de la billetera de criptomonedas
  • Configuraciones de cliente VPN
  • Información de las herramientas CLI en la nube y Discord
  • Redes conectadas y plataformas financieras compartidas

Telegrama: El centro neurálgico de la operación

Los datos exfiltrados se envían a través de canales de Telegram, donde se almacenan y monitorean. PXA Stealer utiliza BotIDs (TOKEN_BOT) para vincular los bots con sus correspondientes ChatIDs (CHAT_ID). Estos canales actúan como repositorios de información robada y sirven como centro de comunicación para las notificaciones de los actores de amenazas.

Estos datos robados se canalizan a plataformas ilícitas como Sherlock, un mercado que comercializa registros de robos. Aquí, otros ciberdelincuentes pueden comprar los datos para realizar robos de criptomonedas o infiltrarse en redes corporativas, alimentando así una cadena de suministro cibercriminal en rápido crecimiento.

Tácticas avanzadas de comercio y evasión

Las campañas recientes de 2025 han demostrado un avance técnico notable. Los operadores ahora emplean técnicas de carga lateral de DLL y estrategias de staging multicapa para evitar la detección y dificultar el análisis forense. Un giro engañoso en la cadena de ataque implica la visualización de un documento señuelo, como un aviso falso de infracción de derechos de autor, mientras las operaciones maliciosas se desarrollan discretamente en segundo plano.

Una de las mejoras más significativas de las nuevas versiones de PXA Stealer es su capacidad para extraer cookies cifradas de navegadores basados en Chromium. Esto se logra inyectando una DLL en los procesos activos, evadiendo eficazmente las protecciones de cifrado a nivel de aplicación.

Técnicas clave detrás de la operación

La campaña exhibe varias tácticas definitorias:

Defensas antianálisis : diseñadas para retrasar la detección y frustrar los esfuerzos de ingeniería inversa.

Entrega de carga útil por etapas : cadenas de infección complejas que utilizan DLL cargadas lateralmente.

Contenido señuelo : archivos no maliciosos utilizados para enmascarar actividad maliciosa.

Infraestructura C2 basada en Telegram : canal de comunicación reforzado utilizado para comando, control y exfiltración de datos.

El panorama general: un mercado clandestino en crecimiento

Lo que comenzó como un ladrón de Python se ha convertido en una operación cibernética madura y de múltiples etapas. No solo el malware es avanzado, sino también el ecosistema que lo rodea, como los mercados basados en Telegram, los canales automatizados de reventa de datos y los canales de monetización organizados.

Estos avances ponen de relieve cómo el cibercrimen moderno se ha vuelto más ágil, escalable y está profundamente integrado con las herramientas de comunicación cifradas. PXA Stealer es un excelente ejemplo de cómo los actores de amenazas están adaptando sus herramientas y su actividad para anticiparse a la detección y maximizar sus beneficios en la economía cibercriminal actual.

Tendencias

Estafa de correo electrónico de verificación fallida

Suplantación de identidad (phishing), Correo basura
Las estafas en línea están evolucionando rápidamente, y las campañas de phishing siguen siendo una de las tácticas más comunes de los ciberdelincuentes. Entre ellas, la estafa del correo electrónico de verificación fallida es una campaña fraudulenta diseñada para engañar a los destinatarios y que revelen información confidencial. Estos correos electrónicos no están vinculados a ninguna empresa,...

Mas Visto

Cargando...