В первом квартале 2026 года специалисты по информационной безопасности наблюдают тревожный тренд: резкий всплеск активности вредоносной программы-похитителя данных PXA Stealer, целенаправленно нацеленной на глобальные финансовые институты. После успешных операций по ликвидации в 2025 году таких известных угроз, как Lumma, Rhadamanthys и RedLine, образовавшуюся нишу на чёрном рынке быстро заняли новые или модифицированные семейства. Согласно данным аналитиков, активность PXA Stealer выросла на оценочные 8-10%, демонстрируя способность киберпреступных групп быстро адаптироваться к изменяющейся обстановке. Эта кампания представляет особый интерес, поскольку использует не только стандартные, но и усовершенствованные методы доставки и сокрытия, что требует от защитных команд повышенного внимания к деталям.
Описание
Основным вектором атаки остаются фишинговые письма, однако тактика стала более изощрённой. Вместо прямого вложения вредоносного файла злоумышленники используют письма со ссылками на загрузку скомпрометированных ZIP-архивов. Это позволяет обходить простые фильтры, проверяющие вложения. Приманки отличаются большим разнообразием и ориентированы на широкий круг потенциальных жертв внутри организаций: от кадровых специалистов, которым предлагается "резюме", до бухгалтерии, получающей "налоговые формы", и ИТ-отделов, заинтересованных в "установщиках" программного обеспечения, например Adobe Photoshop. Такой ситуативный подход увеличивает шансы на успешное проникновение в систему.
Технический анализ конкретного инцидента, проведённый исследователями, показывает цепочку убийства (kill chain), которая, хотя и сохраняет общие черты с ранее известными атаками, содержит несколько новых элементов. Атака начинается с того, что пользователь переходит по ссылке и загружает архив с названием, например, "Pumaproject.zip". Внутри архива находится файл "Document.docx.exe", маскирующийся под документ, но на самом деле являющийся исполняемым. Его запуск инициирует сложный многоэтапный процесс развёртывания вредоносной нагрузки.
На следующем этапе в системе создаётся скрытая директория с именем "Dots", куда помещаются компоненты для дальнейших действий. Для обфускации и распаковки злоумышленники активно используют легитимные системные и сторонние утилиты, метод, известный как Living-off-the-Land (LOL). Например, утилита "certutil.exe", входящая в состав Windows, применяется для декодирования скрытых данных из файла "Shodan.pdf", который на самом деле является зашифрованным архивом. Затем для его распаковки используется переименованный исполняемый файл WinRAR, замаскированный под "picture.png". Этот архив защищён паролем "shodan2201" и содержит портативный интерпретатор Python, библиотеки и вредоносный скрипт.
Ключевым элементом маскировки является переименование интерпретатора Python в "svchost.exe" - имя критически важного системного процесса, что позволяет вредоносной активности слиться с фоновыми процессами ОС. Этот фальшивый "svchost.exe" затем запускает сильно обфусцированный Python-скрипт. В ходе расследования специалисты CyberProof выявили, что скрипт содержит ссылку на идентификатор бота, в данном случае "Verymuchxbot" или "Ken1", что позволяет атакующим управлять заражёнными системами. Основная цель PXA Stealer - кража данных из браузеров (логины, пароли, cookies), информации из криптокошельков, а также перехват вводимых данных на определённых сайтах, например, интернет-банкинга, с помощью техники кейлоггинга.
После сбора данных происходит их эксфильтрация. В отличие от многих других похитителей, PXA Stealer использует для этого мессенджер Telegram, устанавливая соединение через TCP-порт 443, который обычно ассоциируется с защищённым HTTPS-трафиком, что затрудняет его обнаружение. Для обеспечения постоянного присутствия в системе вредоносная программа прописывает свою автозагрузку в реестр Windows. Учитывая изощрённость атаки и её целевую направленность, финансовым организациям необходимо сосредоточить усилия на превентивном обнаружении. Мониторингу подлежат не только фишинговые письма с подозрительными ссылками и архивами, но и выполнение скриптовых файлов из временных папок, а также попытки внедрения кода в процессы. Особое внимание стоит уделять исходящим соединениям на подозрительные домены верхнего уровня, такие как ".xyz" или ".shop", и любой сетевой активности, направленной на облачные сервисы вроде Telegram.
Индикаторы компрометации
IPv4
- 146.112.56.140
- 151.243.109.125
URLs
- https://downloadtheproject.xyz/Marketing-Puma!.zip
- https://downloadtheproject.xyz/Puma-job.zip
- https://downloadtheproject.xyz/Pumaproject.zip
MD5
- 00d68afd8a75ce8c194ab3bb4c64c152
- 0a5b50ca9beb5b740fdae5d783d5616d
- 0c19f07cec233481e8efcf722f2b29fd
- 0f1939d88e38cc825dfe5c50926344d6
- 2255735d78b9ca0a20cbd2834876f4d1
- 3324c1c827428a212e2c9898d082037e
- 386981b3cd77df33b60cd9b9d93a7812
- 47b4c3dd3bc58037de31f3ee218d4ea1
- 4b14ef9a1a69b3d39a8dda04e1d119bf
- 57ee3e3e7b106727b77ce98bf80c0e1b
- 5991a68b994e76d48212b098ac599560
- 5d7d338c4cdd706a01de1ec32a08c5f4
- 61a163ae3cac1255c852a37c675edd5d
- 690dcef7d7e265096010b276649fb529
- 696c710f62e3a7f7c618c4733d67cc13
- 6b6ee7e492e4c573381393dedbfec94d
- 6f5a040c83d490e30ea9b242c962d179
- 79471f93e15e04e6b7879a09de79d35b
- 7d68cfe4d7a83608490e6c3c8291ec9b
- 88528f1c4df15e1d4c92d71fe1223761
- a534676c0dcf8d63eb1f7cbcd0bd5f35
- d240282856829133ec8f5ddd712fb49c
- d85b44735555d96c6c763c4d466e074f
- edee9e57699eea7371234acd40a34cac
- fd50bc23272f3704762218ba43ce068b
- fd5fd153bded23ffac1a4dd2bbb38c78
SHA256
- 100a7674ece92dae0dc0bfde15dfb524939a8dd0c295ff2e232895a07e21342f
- 10955134b4e8dc41b2a116ab41d17b0ef0985bea99bdc5f0e5a11a07728905ec
- 23b122deea347dbe2407c1542c1cc6caaafca537eb5d1950a4ed7c8a69395dbb
- 8de1c5a66deab8bd4f59b2801a66f503f087345ccb0598c5ca8185f1edb2092b
- d30a4d0249b5417af02a4e7ffb5b456efd8cd5eb8da6532329ae071f643e5079
- e1f6c80aae41feed9acfc62f1e1d83077ce6fda4bed56ffb448fe132a1c97afe
