Một làn sóng tấn công mạng mới đang đặt các tổ chức tài chính vào tình trạng báo động cao. Các tác nhân đe dọa đang gia tăng sử dụng PXA Stealer — một loại mã độc đánh cắp thông tin mạnh mẽ — nhắm vào các tổ chức trên toàn cầu.
Sự gia tăng này diễn ra sau khi các cơ quan thực thi pháp luật thành công trong việc vô hiệu hóa nhiều chiến dịch mã độc đánh cắp thông tin lớn khác, bao gồm Lumma, Rhadamanthys và RedLine, trong suốt năm 2025.
Sự Trỗi Dậy của PXA Stealer và Mối Đe Dọa Hiện Tại
Với việc các nền tảng mã độc cũ bị loại bỏ, PXA Stealer đã nhanh chóng lấp đầy khoảng trống.
Các nhà nghiên cứu ước tính hoạt động của nó đã tăng từ 8 đến 10 phần trăm trong quý đầu tiên của năm 2026. Điều này cho thấy sự chuyển dịch rõ rệt trong bức tranh các mối đe dọa an ninh mạng.
Mục Tiêu Chính: Các Tổ Chức Tài Chính
Các nhà phân tích và nhà nghiên cứu mối đe dọa từ CyberProof đã xác định chiến dịch đang phát triển này trong Quý 1 năm 2026.
Họ đặc biệt lưu ý sự tập trung có chủ đích của mã độc vào các tổ chức tài chính trên toàn cầu.
Cuộc điều tra của họ tập trung vào một cụm chiến dịch được liên kết với một định danh bot có tên “Verymuchxbot”. Cụm chiến dịch này có nhiều điểm khác biệt so với các hoạt động của PXA Stealer đã được báo cáo công khai từ tháng 8 năm 2025.
Chiến Thuật Triển Khai và Chuỗi Tấn Công (Kill Chain)
Các chiến dịch PXA Stealer sử dụng các email lừa đảo (phishing) chứa các URL độc hại.
Những URL này hướng nạn nhân tải xuống các tệp ZIP chứa phần mềm độc hại được ẩn giấu.
Chiến Thuật Lừa Đảo Đa Dạng
Những kẻ tấn công sử dụng một loạt các tài liệu mồi nhử đa dạng để thu hút mục tiêu.
Các tài liệu này bao gồm từ hồ sơ xin việc giả mạo, trình cài đặt Adobe Photoshop giả, cho đến các biểu mẫu thuế và giấy tờ pháp lý.
Sự đa dạng này đảm bảo mối đe dọa có thể tiếp cận nhân viên ở nhiều phòng ban khác nhau trong một tổ chức tài chính, làm cho việc phòng thủ trở nên khó khăn hơn với các bộ lọc email đơn lẻ.
Phân Tích Chuỗi Tấn Công
Bằng cách theo dõi toàn bộ chuỗi tấn công — từ email lừa đảo ban đầu cho đến việc đánh cắp dữ liệu cuối cùng — nhóm nghiên cứu đã có thể ghi lại chính xác cách mã độc tiếp cận mục tiêu của nó.
Cuộc tấn công bắt đầu khi nạn nhân bị lừa tải xuống một kho lưu trữ ZIP có tên Pumaproject.zip từ miền downloadtheproject[.]xyz.
Kho lưu trữ này chứa một tệp có tên Document.docx.exe, được thiết kế để trông giống như một tài liệu Word vô hại.
Khi nạn nhân chạy tệp này, mã độc sẽ kích hoạt, giải nén một trình thông dịch Python, một số thư viện Python và các tập lệnh độc hại.
Đồng thời, mã độc tạo một thư mục ẩn có tên “Dots” để lưu trữ các thành phần tấn công còn lại.
Kỹ Thuật Né Tránh Phát Hiện
Bên trong thư mục “Dots”, những kẻ tấn công lưu trữ một tệp nhị phân WinRar hợp pháp được đổi tên thành picture.png, cùng với một kho lưu trữ được mã hóa ngụy trang thành Shodan.pdf.
Công cụ Windows certutil sau đó giải mã tệp này. Sau đó, tệp nhị phân WinRar giải nén kho lưu trữ bằng mật khẩu “shodan2201”.
Nội dung của nó được lưu vào đường dẫn C:\Users\Public\WindowsSecure. Trình thông dịch Python sau đó được đổi tên thành svchost.exe để giả mạo một tiến trình Windows đáng tin cậy.
Một tập lệnh Python bị che giấu mạnh, ngụy trang dưới dạng images.png, sau đó được khởi chạy với đối số $BOT_ID trỏ đến “Verymuchxbot”.
Tập lệnh này kết nối vào trình duyệt của nạn nhân để chặn thông tin đăng nhập và dữ liệu ví tiền điện tử trong các phiên hoạt động.
Khả Năng Của Mã Độc PXA Stealer
PXA Stealer được xây dựng để thu thập một cách âm thầm các thông tin nhạy cảm từ các máy bị nhiễm.
- Thông tin đăng nhập trình duyệt: Tên người dùng và mật khẩu được lưu trữ.
- Mật khẩu đã lưu: Bao gồm mật khẩu từ các ứng dụng và dịch vụ khác.
- Dữ liệu ví tiền điện tử: Các khóa riêng (private keys), cụm từ khôi phục (seed phrases) hoặc các thông tin liên quan khác.
Sau khi thu thập thông tin này, mã độc gửi tất cả dữ liệu đến kẻ tấn công thông qua các kênh Telegram. Điều này giúp lưu lượng truy cập ra ngoài tránh được sự giám sát chặt chẽ.
Mã độc cũng ghi một mục vào registry để đảm bảo nó tiếp tục chạy ngay cả sau khi máy được khởi động lại.
Kỹ thuật này cung cấp cho những kẻ tấn công quyền truy cập dài hạn vào hệ thống bị xâm nhập.
Các Chỉ Số Thỏa Hiệp (IOCs)
Các tổ chức nên theo dõi các chỉ số thỏa hiệp sau để phát hiện hoạt động của PXA Stealer:
- Bot ID:
Verymuchxbot - Tên tệp khởi tạo:
Pumaproject.zip - Tên tệp thực thi ban đầu:
Document.docx.exe - Miền liên quan:
downloadtheproject[.]xyz - Tệp được đổi tên:
picture.png(ban đầu là WinRar),svchost.exe(ban đầu là Python interpreter),images.png(tập lệnh Python). - Thư mục ẩn:
Dots - Đường dẫn triển khai:
C:\Users\Public\WindowsSecure
Biện Pháp Phòng Ngừa và Phát Hiện
Để đối phó với mối nguy cơ bảo mật từ PXA Stealer, các nhóm bảo mật cần thực hiện các biện pháp chủ động:
- Giám sát email: Theo dõi các URL đáng ngờ và các tệp đính kèm ZIP hoặc RAR, đặc biệt là những tệp có tên gợi ý hóa đơn, biên lai hoặc nội dung liên quan đến công việc.
- Chặn tên miền: Chặn các kết nối ra ngoài đến các tên miền cấp cao nhất như
.xyz,.shop,.infovà.net, đồng thời luôn xem xét ngữ cảnh của tệp nguồn. - Kiểm tra lưu lượng ứng dụng nhắn tin: Lưu lượng truy cập hướng đến các ứng dụng nhắn tin của bên thứ ba như Telegram cần được kiểm tra để phát hiện việc di chuyển dữ liệu trái phép.
- Phản ứng nhanh với cảnh báo EDR: Các cảnh báo EDR về chèn tiến trình (process injection) cần được xử lý khẩn cấp.
- Cập nhật thông tin tình báo mối đe dọa (CTI): Luôn cập nhật nguồn cấp dữ liệu CTI và các truy vấn săn lùng mối đe dọa để phát hiện các mối đe dọa mã độc đánh cắp thông tin mới nổi trước khi chúng gây ra thiệt hại.
