นักวิจัยด้านความปลอดภัยทางไซเบอร์กำลังให้ความสนใจแคมเปญใหม่ที่กำลังถูกใช้แพร่กระจายมัลแวร์ขโมยข้อมูลที่พัฒนาโดยใช้ภาษา Python ซึ่งมีชื่อว่า PXA Stealer
จากรายงานร่วมระหว่าง Beazley Security และ SentinelOne ที่เผยแพร่ผ่าน The Hacker News ระบุว่า การดำเนินการที่เป็นอันตรายเหล่านี้ถูกประเมินว่ามีความเชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ที่ใช้ภาษาเวียดนาม ซึ่งสร้างรายได้จากข้อมูลที่ขโมยมาผ่านระบบใต้ดินแบบสมัครสมาชิก โดยจะทำการขายต่อ และนำข้อมูลกลับมาใช้ใหม่โดยอัตโนมัติผ่าน Telegram API
นักวิจัยด้านความปลอดภัย Jim Walter, Alex Delamotte, Francisco Donoso, Sam Mayers, Tell Hause และ Bobby Venal ระบุว่า “การค้นพบครั้งนี้แสดงถึงพัฒนาการขั้นสูงในเทคนิคการโจมตี โดยใช้วิธีหลบเลี่ยงการวิเคราะห์ที่ซับซ้อนมากขึ้น มีการแทรกเนื้อหาหลอกที่ดูไม่เป็นอันตราย และโครงสร้าง command-and-control ที่มีการป้องกันแน่นหนา ซึ่งทำให้ยากต่อการวิเคราะห์ และสามารถชะลอการตรวจจับได้”
แคมเปญดังกล่าวได้แพร่กระจายมัลแวร์ไปยัง IP Address กว่า 4,000 รายการทั่วโลก ครอบคลุม 62 ประเทศ รวมถึงเกาหลีใต้, สหรัฐอเมริกา, เนเธอร์แลนด์, ฮังการี และออสเตรีย โดยข้อมูลที่ถูกขโมยมามีทั้งรหัสผ่านมากกว่า 200,000 รายการ ข้อมูลบัตรเครดิตหลายร้อยรายการ และคุกกี้เว็บเบราว์เซอร์มากกว่า 4 ล้านรายการ
PXA Stealer ถูกเปิดเผยเป็นครั้งแรกโดย Cisco Talos ในเดือนพฤศจิกายน 2024 โดยระบุว่าใช้ในการโจมตีหน่วยงานภาครัฐ และสถาบันการศึกษาในยุโรป และเอเชีย มัลแวร์ตัวนี้มีความสามารถในการขโมยข้อมูลรหัสผ่าน ข้อมูลที่กรอกอัตโนมัติในเบราว์เซอร์ รวมถึงข้อมูลจากกระเป๋าเงินคริปโตฯ และสถาบันทางการเงิน
ข้อมูลที่ถูกขโมยโดยมัลแวร์จะถูกส่งออกผ่านช่องทาง Telegram และนำไปกรอกเข้าสู่แพลตฟอร์มอาชญากรรมไซเบอร์อย่าง Sherlock ซึ่งเป็นตลาดสำหรับขายข้อมูลที่ขโมยมา โดยผู้โจมตีรายอื่นสามารถซื้อข้อมูลเหล่านี้เพื่อนำไปใช้ในการขโมยคริปโตฯ หรือแทรกซึมเข้าไปในองค์กรเพื่อวัตถุประสงค์อื่น ๆ ต่อไป ส่งผลให้เกิดระบบนิเวศของอาชญากรรมไซเบอร์ที่ขยายตัวอย่างกว้างขวาง
แคมเปญที่เแพร่กระจายมัลแวร์ในปี 2025 แสดงให้เห็นถึงวิวัฒนาการเชิงกลยุทธ์อย่างต่อเนื่อง โดยกลุ่มผู้โจมตีได้นำเทคนิค DLL side-loading มาใช้ร่วมกับกระบวนการเตรียมการที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับ
DLL ที่เป็นอันตรายจะรับหน้าที่ดำเนินการในขั้นตอนที่เหลือในการติดมัลแวร์ โดยมีเป้าหมายเพื่อเปิดทางสำหรับการติดตั้งมัลแวร์ขโมยข้อมูล แต่ก่อนหน้านั้น จะมีขั้นตอนแสดงเอกสารหลอกลวงให้เหยื่อเห็นก่อน เช่น ประกาศการละเมิดลิขสิทธิ์
มัลแวร์ขโมยข้อมูลตัวนี้เป็นเวอร์ชันอัปเดต โดยมีความสามารถในการดึงข้อมูลคุกกี้จากเว็บเบราว์เซอร์ที่ใช้ Chromium โดยการใส่ DLL เข้าไปยังอินสแตนซ์ของเบราว์เซอร์ที่กำลังทำงานอยู่ เพื่อหลบเลี่ยงมาตรการป้องกันการเข้ารหัสที่ผูกกับแอปฯ นอกจากนี้ยังสามารถขโมยข้อมูลจากโปรแกรม VPN เครื่องมือ command-line ของระบบคลาวด์ (CLI), ระบบแชร์ไฟล์ที่เชื่อมต่ออยู่ และแอปพลิเคชันอย่าง Discord
นักวิจัยระบุว่า “PXA Stealer ใช้ BotIDs (จัดเก็บเป็น TOKEN_BOT) เพื่อเชื่อมโยงระหว่างบอตหลักกับ ChatID ต่าง ๆ (จัดเก็บเป็น CHAT_ID)” “ChatID เป็นช่องทางของ Telegram ที่มีคุณสมบัติต่างกัน แต่หน้าที่หลักคือใช้เป็นที่เก็บข้อมูลที่ถูกขโมย และส่งการอัปเดตหรือแจ้งเตือนต่าง ๆ ไปยังผู้โจมตี”
ภัยคุกคามนี้ได้พัฒนาอย่างรวดเร็วจนกลายเป็นกระบวนการโจมตีแบบหลายขั้นตอนที่มีความสามารถในการหลบเลี่ยงการตรวจจับสูง โดยอยู่ภายใต้การดำเนินงานของกลุ่มผู้โจมตีที่ใช้ภาษาเวียดนาม และมีความเชื่อมโยงอย่างชัดเจนกับช่อง Telegram ที่มีการซื้อขายข้อมูลเหยื่อที่ถูกขโมยมา
ที่มา : thehackernews
You must be logged in to post a comment.