Pesquisadores de cibersegurança alertam para uma nova onda de ataques conduzidos por hackers de língua vietnamita, que utilizam um malware chamado PXA Stealer, um ladrão de informações desenvolvido em Python. A campanha já afetou mais de 4.000 endereços IP únicos em 62 países, incluindo EUA, Coreia do Sul e países da Europa, resultando no roubo de mais de 200 mil senhas, centenas de cartões de crédito e mais de 4 milhões de cookies de navegador.
Segundo relatório conjunto da Beazley Security e SentinelOne, os dados roubados são comercializados em um mercado clandestino baseado no Telegram, onde ferramentas automatizadas permitem a revenda e uso desses dados por outros cibercriminosos. A operação, considerada sofisticada, utiliza técnicas anti-análise, conteúdo de isca não malicioso e um sistema de comando e controle resistente para evitar detecção. Documentado inicialmente em novembro de 2024 pela Cisco Talos, o PXA Stealer evoluiu com recursos para capturar senhas, cookies de navegadores baseados em Chromium, dados de carteiras de criptomoedas, clientes VPN, utilitários de nuvem e aplicativos como Discord.
A infecção ocorre por meio de uma DLL maliciosa que, antes de ativar o malware, exibe um documento falso, como um aviso de violação de direitos autorais, para enganar a vítima. A infraestrutura usa canais do Telegram para exfiltrar dados e notificar os operadores, tornando-se uma operação de múltiplas etapas difícil de rastrear, e evidenciando a crescente sofisticação do cibercrime global com base no compartilhamento de dados sensíveis em larga escala.
