PXA Stealer攻撃キャンペーン
サイバーセキュリティ研究者は、PXA Stealerを拡散させるキャンペーンの急増に警鐘を鳴らしています。PXA Stealerは、機密性の高いユーザーデータを収集するために特別に設計されたPythonベースのマルウェアです。この高度なインフォスティーラーは、ベトナム語圏のサイバー犯罪者グループが作成したとされ、サブスクリプション型のアンダーグラウンドエコシステム内で悪用されています。このキャンペーンの特徴は、Telegram APIとの統合です。これにより、盗まれたデータは最小限の人的介入で迅速に収益化、再販、再利用できます。
目次
感染の蔓延とデータ盗難の深刻化
PXA Stealerの被害範囲は広範囲に及びます。62か国で4,000以上のIPアドレスが侵害されています。被害地域には、米国、韓国、オランダ、ハンガリー、オーストリアなどが含まれます。
盗まれたデータの規模は甚大です。
- 20万以上のユニークなパスワード
- 数百件のクレジットカード記録
- 400万以上のブラウザクッキー
PXA Stealerキャンペーンは2024年11月に初めて確認され、ヨーロッパとアジアの政府機関や教育機関を標的としていました。その後、PXA Stealerは進化を続け、以下を含む幅広いデータを抽出するようになりました。
- ブラウザからのパスワードと自動入力データ
- 暗号通貨ウォレットの認証情報
- VPNクライアントの設定
- クラウドCLIツールとDiscordからの情報
- 接続されたネットワーク共有と金融プラットフォーム
テレグラム:作戦の中枢
盗み出されたデータはTelegramチャンネル経由で送信され、そこで保存・監視されます。PXA StealerはBotID(TOKEN_BOT)を使用してボットを対応するChatID(CHAT_ID)にリンクします。これらのチャンネルは窃取された情報のリポジトリとして機能し、脅威アクターからの通知のための通信ハブとして機能します。
盗まれたデータは、Stealerログを売買するマーケットプレイスであるSherlockなどの違法プラットフォームに流入します。そこで他のサイバー犯罪者がデータを購入し、暗号資産窃盗を実行したり、企業ネットワークに侵入したりすることで、急速に拡大するサイバー犯罪サプライチェーンに流れ込みます。
高度な技術と回避戦術
2025年の最近の攻撃キャンペーンは、顕著な技術的進歩を示しました。攻撃者は、DLLサイドローディング技術と多層的なステージング戦略を用いて、検出を回避し、フォレンジック分析を妨害しています。攻撃チェーンにおける欺瞞的な仕掛けとして、偽の著作権侵害通知などのおとり文書を表示させながら、悪意のある操作をバックグラウンドで静かに実行するという手法が用いられています。
PXA Stealerの新しい亜種における最も重要なアップグレードの一つは、Chromiumベースのブラウザから暗号化されたCookieを抽出できる機能です。これは、アクティブなプロセスにDLLを挿入することで、アプリケーションレベルの暗号化保護を効果的に回避することで実現されます。
作戦の背後にある主要なテクニック
このキャンペーンには、いくつかの特徴的な戦術が見られます。
分析対策: 検出を遅らせ、リバース エンジニアリングの取り組みを妨害するように設計されています。
段階的なペイロード配信: サイドロードされた DLL を使用した複雑な感染チェーン。
デコイコンテンツ: 悪意のあるアクティビティを隠すために使用される悪意のないファイル。
Telegram ベースの C2 インフラストラクチャ: コマンド、制御、およびデータの流出に使用される強化された通信パイプライン。
全体像:成長する地下市場
Pythonの窃盗ツールとして始まったものが、今や成熟した多段階のサイバー攻撃へと成長しました。進化しているのはマルウェア本体だけでなく、Telegramベースのマーケットプレイス、自動データ再販チャネル、組織化された収益化パイプラインなど、それを取り巻くエコシステムも進化しています。
これらの展開は、現代のサイバー犯罪がより機動的かつスケーラブルになり、暗号化された通信ツールと深く結びついていることを浮き彫りにしています。PXA Stealerは、今日のサイバー犯罪経済において、脅威アクターが検知を回避し、利益を最大化するために、ツールと取引をどのように適応させているかを示す好例です。
