SentinelLABS và Beazley Security đã phát hiện một chiến dịch đánh cắp thông tin tinh vi, triển khai PXA Stealer dựa trên Python. Mã độc này đã phát triển nhanh chóng từ cuối năm 2024, tích hợp các kỹ thuật chống phân tích nâng cao, nội dung đánh lừa (decoy content) và hạ tầng kiểm soát và điều khiển (C2) được tăng cường.
Tổng Quan Chiến Dịch PXA Stealer
Chiến dịch này có liên kết chặt chẽ với các mạng lưới tội phạm mạng nói tiếng Việt. Chúng tận dụng API của Telegram để tự động hóa quá trình đánh cắp và kiếm tiền từ dữ liệu. Dữ liệu sau đó được đưa vào các thị trường ngầm như Sherlock để bán lại, tạo ra một chu trình kiếm lời hiệu quả từ việc rò rỉ dữ liệu.
Mục tiêu và Phạm vi Ảnh hưởng
Phân tích các nhật ký bị đánh cắp đã tiết lộ hơn 4.000 địa chỉ IP nạn nhân duy nhất, trải rộng trên ít nhất 62 quốc gia. Các khu vực bị ảnh hưởng nặng nề nhất bao gồm Hàn Quốc, Hoa Kỳ, Hà Lan, Hungary và Áo, cho thấy quy mô toàn cầu của chiến dịch.
Kho dữ liệu bị đánh cắp là rất lớn, bao gồm hơn 200.000 mật khẩu duy nhất, hàng trăm bản ghi thẻ tín dụng và hơn 4 triệu cookie trình duyệt. Khối lượng dữ liệu này cấp cho các tác nhân đe dọa quyền truy cập rộng rãi vào tài khoản trực tuyến, dữ liệu tài chính nhạy cảm và tài sản tiền điện tử của nạn nhân. Điều này nhấn mạnh nguy cơ đáng kể của các cuộc tấn công mạng nhắm vào thông tin cá nhân và tài chính.
Bằng cách vũ khí hóa các nền tảng hợp pháp và phổ biến như Telegram, Cloudflare Workers và Dropbox, chiến dịch PXA Stealer giảm thiểu đáng kể chi phí vận hành. Đồng thời, nó cho phép thu hoạch dữ liệu theo thời gian thực và thực hiện các hoạt động tội phạm tiếp theo, bao gồm chiếm đoạt tài khoản và trộm cắp tiền điện tử một cách hiệu quả.
Cơ chế Vận Hành và Hạ tầng Ban Đầu
Các tác nhân đe dọa đã liên tục tinh chỉnh chiến thuật xuyên suốt năm 2025. Ban đầu, chúng chuyển đổi từ các payload thực thi Windows truyền thống sang các biến thể dựa trên Python, khó bị phát hiện và phân tích hơn. Sự thay đổi này cho thấy một nỗ lực nhằm né tránh các giải pháp bảo mật truyền thống.
Sự Tiến Hóa của Chuỗi Tấn Công PXA Stealer
Giai đoạn Ban Đầu: Kỹ thuật DLL Sideloading
Trong các đợt tấn công đầu tiên vào tháng 4 năm 2025, chiến dịch PXA Stealer đã sử dụng các mồi nhử lừa đảo (phishing lures) để phân phối các file nén. Các file này chứa các file thực thi Haihaisoft PDF Reader đã ký, được sideloading thông qua các DLL độc hại. Kỹ thuật này không chỉ giúp thiết lập quyền truy cập bền bỉ thông qua việc chỉnh sửa khóa Registry của Windows mà còn cho phép tải thêm các thành phần độc hại từ Dropbox.
Các chuỗi lây nhiễm này thường sử dụng công cụ Windows certutil để giải mã các file RAR nhúng. Các file RAR này thường được ngụy trang một cách khéo léo thành các file PDF bị lỗi để che giấu mục đích thực sự. Sau đó, công cụ WinRAR được sử dụng để giải nén các phụ thuộc của Python, bao gồm một trình thông dịch Python 3.10 đã đổi tên thành svchost.exe, mục đích là để triển khai cuối cùng mã độc PXA Stealer.
Giai đoạn Nâng Cao: Decoy và Kỹ thuật Trì hoãn Thực thi
Đến tháng 7, chuỗi lây nhiễm đã đạt đến mức độ trưởng thành cao hơn. Nó bắt đầu kết hợp các tệp nhị phân Microsoft Word 2013 được đổi tên thành các tài liệu thông thường để thu hút nạn nhân. Các tệp này được sideloading với msvcr100.dll, một DLL hợp lệ, để khởi chạy các cửa sổ dòng lệnh ẩn một cách tinh vi.
Giai đoạn này được thiết kế để gây nhầm lẫn cho người dùng và các hệ thống phân tích. Nó mở các tài liệu đánh lừa vô hại như Tax-Invoice-EV.docx, thường chứa các thông báo bản quyền giả mạo để đánh lạc hướng. Trong khi đó, ở chế độ nền, nó thực hiện quá trình giải mã và giải nén các file ZIP được mã hóa thông qua các công cụ WinRAR đã được đổi tên (ví dụ: images.png).
Một đặc điểm nổi bật của chiến dịch PXA Stealer ở giai đoạn này là việc trì hoãn thực thi các đoạn mã độc. Điều này thường gây ra lỗi hết thời gian chờ của các môi trường sandbox và dẫn đến kết quả sai tiêu cực (false negatives) trong quá trình phát hiện. Sau khoảng thời gian trì hoãn, mã độc sẽ chạy các tập lệnh Python bị làm rối mã (obfuscated) với các đối số BOT_ID để bắt đầu quá trình liệt kê và đánh cắp dữ liệu một cách hiệu quả.
Kỹ Thuật Thu Thập Dữ Liệu của PXA Stealer
Dữ liệu Mục tiêu và Phương pháp Đánh cắp
PXA Stealer được thiết kế để nhắm mục tiêu vào một danh sách rộng lớn các dữ liệu nhạy cảm. Nó có khả năng giải mã mật khẩu đã lưu, cookie, mục tự động điền và các token xác thực từ hầu hết các trình duyệt phổ biến dựa trên Chromium và Gecko, bao gồm Chrome, Edge và các biến thể Opera.
Để vượt qua các biện pháp bảo mật của trình duyệt, PXA Stealer tiêm DLL vào các quy trình trình duyệt để bỏ qua các cơ chế mã hóa, chẳng hạn như App-Bound Encryption Key của Chrome. Ngoài ra, nó còn thu thập các file quan trọng từ ví tiền điện tử (ví dụ: Exodus, Atomic), ứng dụng khách VPN, tiện ích đám mây và các ứng dụng truyền thông như Discord và Telegram. Các thông tin đăng nhập cụ thể trang web từ các nền tảng tài chính quan trọng, bao gồm Binance, Coinbase và PayPal, được ưu tiên đặc biệt.
Sau khi thu thập, dữ liệu sẽ được đóng gói gọn gàng vào các file ZIP (ví dụ: [CC_IPADDRESS]_HOSTNAME.zip) và chuyển tiếp an toàn thông qua Cloudflare Workers đến các bot Telegram cụ thể. Quá trình này đảm bảo việc thu thập và chuyển giao dữ liệu diễn ra nhanh chóng và hiệu quả.
Hạ tầng Kiểm Soát và Điều Khiển (C2)
Cơ sở hạ tầng chính phục vụ cho chiến dịch PXA Stealer bao gồm Bot Token Telegram 7414494371:AAHsrQDkPrEVyz9z0RoiRS5fJKI-ihKJpzQ và Chat ID -1002698513801. Các biến thể khác của mã độc này cũng được liên kết với các định danh bot như ADN_2_NEW_VER_BOT và MRB_NEW_VER_BOT, thường xuyên chứa các dấu hiệu ngôn ngữ tiếng Việt trong cấu hình của chúng.
Theo báo cáo chi tiết từ SentinelOne Labs, các tác nhân điều hành chiến dịch đã sử dụng các dịch vụ lưu trữ payload như paste.rs và 0x0.st. Các hoạt động này cũng có mối liên hệ với các chiến dịch trước đây đã được Cisco Talos báo cáo, cho thấy sự liên tục trong các hoạt động của nhóm tội phạm này.
Dữ liệu về nạn nhân cho thấy hoạt động bền vững của PXA Stealer kể từ tháng 10 năm 2024, với một số bot nhắm mục tiêu ưu tiên các khu vực như Israel và Đài Loan. Điều này càng nhấn mạnh phạm vi toàn cầu và hiệu quả cao dựa trên tự động hóa của chiến dịch, biến nó thành một mối đe dọa đáng kể.
Chỉ Số IOCs (Indicators of Compromise)
Các chỉ số xâm nhập (IOCs) quan trọng liên quan đến chiến dịch PXA Stealer bao gồm:
- Bot Token Telegram:
7414494371:AAHsrQDkPrEVyz9z0RoiRS5fJKI-ihKJpzQ - Chat ID Telegram:
-1002698513801 - Tên bot biến thể:
ADN_2_NEW_VER_BOT,MRB_NEW_VER_BOT - Đường dẫn lưu trữ payload (ví dụ):
paste.rs,0x0.st - Tên file thực thi giả mạo:
svchost.exe(trình thông dịch Python),Tax-Invoice-EV.docx(tài liệu đánh lừa),images.png(WinRAR đổi tên) - DLL độc hại hoặc được lợi dụng:
msvcr100.dll(được sử dụng để sideloading) - Định dạng file nén dữ liệu bị đánh cắp:
[CC_IPADDRESS]_HOSTNAME.zip
Chiến Lược Phòng Chống và Phát Hiện
Sự leo thang trong các chiến dịch như PXA Stealer làm nổi bật một xu hướng đáng lo ngại: các mã độc đánh cắp thông tin ngày càng tích hợp sâu với hệ sinh thái Telegram để dễ dàng kiếm tiền. Chúng đặt ra thách thức lớn cho các nhà bảo vệ bởi các phương pháp phân phối tinh vi, pha trộn các công cụ hợp pháp với mồi nhử và kỹ thuật né tránh để vượt qua hệ thống phát hiện.
Khi các mối đe dọa này tự động hóa quá trình bán lại dữ liệu thông qua các dịch vụ chợ đen như Sherlock, các tổ chức phải tăng cường các biện pháp phòng vệ của mình. Việc ưu tiên phân tích hành vi (behavioral analytics) và giám sát hạ tầng là cực kỳ quan trọng để chống lại các hoạt động kiên cường và khó bị phát hiện như vậy. Điều này giúp phát hiện sớm các dấu hiệu xâm nhập và giảm thiểu thiệt hại từ các cuộc tấn công mạng phức tạp, bảo vệ an toàn thông tin và ngăn chặn nguy cơ rò rỉ dữ liệu quy mô lớn.
