Ένα νέο κύμα κυβερνοεπιθέσεων θέτει τα χρηματοπιστωτικά ιδρύματα σε υψηλό συναγερμό, καθώς οι παράγοντες απειλών εντείνουν τη χρήση του PXA Stealer – ενός ισχυρού κακόβουλου λογισμικού κλοπής πληροφοριών – εναντίον οργανισμών σε όλο τον κόσμο.
Η αύξηση ακολουθεί την επιτυχή εξάρθρωση από τις αρχές επιβολής του νόμου μεγάλων επιχειρήσεων πληροφορικής κλοπής, συμπεριλαμβανομένων των Lumma, Rhadamanthys και RedLine, κατά τη διάρκεια του 2025.
Με την εξάλειψη αυτών των πλατφορμών, το PXA Stealer έχει προχωρήσει για να καλύψει το κενό, με τους ερευνητές να εκτιμούν ότι η δραστηριότητά του αυξήθηκε κατά 8 έως 10 τοις εκατό κατά το πρώτο τρίμηνο του 2026.
Αυτές οι καμπάνιες χρησιμοποιούν μηνύματα ηλεκτρονικού ψαρέματος (phishing) που φέρουν κακόβουλες διευθύνσεις URL που κατευθύνουν τα θύματα στη λήψη αρχείων ZIP γεμάτα με κρυφό κακόβουλο λογισμικό.
Οι επιτιθέμενοι χρησιμοποιούν ένα ευρύ φάσμα εγγράφων δόλωμα για να δελεάσουν στόχους — από πλαστά βιογραφικά και εγκαταστάτες του Adobe Photoshop σε φορολογικά έντυπα και νομικά έγγραφα.
Αυτή η ποικιλία διασφαλίζει ότι η απειλή μπορεί να φτάσει τους υπαλλήλους πολλών τμημάτων ενός χρηματοπιστωτικού οργανισμού, καθιστώντας δύσκολη την άμυνα ενάντια με φίλτρα email που ταιριάζουν σε όλους.
Οι αναλυτές του CyberProof και οι ερευνητές απειλών εντόπισαν αυτήν την αυξανόμενη εκστρατεία κατά το 1ο τρίμηνο του 2026, επισημαίνοντας τη σκόπιμη εστίασή του στους παγκόσμιους χρηματοπιστωτικούς οργανισμούς.
Η έρευνά τους επικεντρώθηκε σε ένα σύμπλεγμα καμπάνιας συνδεδεμένο με ένα αναγνωριστικό bot με την ένδειξη “Verymuchxbot”, το οποίο διέφερε κατά πολλούς βασικούς τρόπους από τη δημόσια αναφερόμενη δραστηριότητα του PXA Stealer από τον Αύγουστο του 2025.
Ανιχνεύοντας την πλήρη αλυσίδα θανάτωσης – από το πρώτο ηλεκτρονικό μήνυμα ηλεκτρονικού “ψαρέματος” έως την τελική κλοπή δεδομένων – η ομάδα μπόρεσε να τεκμηριώσει ακριβώς πώς το κακόβουλο λογισμικό φτάνει στον στόχο του.
Το PXA Stealer έχει κατασκευαστεί για να συλλέγει αθόρυβα διαπιστευτήρια προγράμματος περιήγησης, αποθηκευμένους κωδικούς πρόσβασης και δεδομένα πορτοφολιού κρυπτονομισμάτων από μολυσμένα μηχανήματα.
Μετά τη συλλογή αυτών των πληροφοριών, στέλνει τα πάντα στον εισβολέα Κανάλια Telegram, τα οποία βοηθούν την εξερχόμενη κίνηση να αποφύγει τον έλεγχο.
Το κακόβουλο λογισμικό γράφει επίσης μια καταχώρηση μητρώου για να διασφαλίσει ότι συνεχίζει να λειτουργεί ακόμα και μετά την επανεκκίνηση του μηχανήματος, δίνοντας στους εισβολείς μακροπρόθεσμη πρόσβαση στο παραβιασμένο σύστημα.
Αυτό που ξεχωρίζει αυτή την καμπάνια είναι το πόσο φυσικά συνδυάζεται με την κανονική δραστηριότητα του συστήματος. Οι εισβολείς χρησιμοποιούν νόμιμα εργαλεία των Windows και μετονομάζουν αρχεία για να ταιριάζουν με αξιόπιστα ονόματα διεργασιών, μειώνοντας την πιθανότητα εντοπισμού.
Καθώς η εμβέλεια του PXA Stealer συνεχίζει να επεκτείνεται, οι οργανισμοί στον χρηματοπιστωτικό τομέα αντιμετωπίζουν έναν αυξανόμενο, πραγματικό κίνδυνο για τα δεδομένα τους.
Μέσα στην Αλυσίδα Λοιμώξεων
Η επίθεση ξεκινά όταν ένα θύμα εξαπατάται να κατεβάσει ένα αρχείο ZIP με το όνομα Pumaproject.zip από τον τομέα downloadtheproject[.]xyz.
Το αρχείο περιέχει ένα αρχείο που ονομάζεται Document.docx.exe, σχεδιασμένο να μοιάζει με αβλαβές έγγραφο του Word.
Όταν το θύμα το εκτελεί, το κακόβουλο λογισμικό ενεργοποιείται, εξάγοντας έναν διερμηνέα Python, αρκετούς Βιβλιοθήκες Python και κακόβουλα σενάρια, ενώ δημιουργείται ένας κρυφός φάκελος που ονομάζεται “Dots” για την αποθήκευση των υπόλοιπων στοιχείων επίθεσης.
.webp.jpeg)
Μέσα στο φάκελο “Dots”, οι εισβολείς αποθηκεύουν ένα νόμιμο δυαδικό αρχείο WinRar που μετονομάστηκε σε picture.png, μαζί με ένα κρυπτογραφημένο αρχείο μεταμφιεσμένο σε Shodan.pdf.
Το εργαλείο Windows certutil αποκωδικοποιεί αυτό το αρχείο, μετά το οποίο το δυαδικό WinRar αποσυσκευάζει το αρχείο χρησιμοποιώντας τον κωδικό πρόσβασης “shodan2201”.
.webp.png)
Το περιεχόμενό του προσγειώνεται C:\Users\Public\WindowsSecureκαι ο διερμηνέας Python μετονομάζεται σε svchost.exe για να περάσει ως αξιόπιστη διαδικασία των Windows.
.webp.jpeg)
Ένα πολύ ασαφές σενάριο Python, μεταμφιεσμένο ως images.png, εκκινείται στη συνέχεια με το $BOT_ID επιχείρημα που δείχνει το “Veryuchxbot.”
Το σενάριο συνδέεται στα προγράμματα περιήγησης του θύματος για να υποκλέψει διαπιστευτήρια και δεδομένα κρυπτογραφικού πορτοφολιού κατά τη διάρκεια ενεργών περιόδων σύνδεσης.
.webp.png)
Όλα τα κλεμμένα δεδομένα αποστέλλονται τελικά μέσω του Telegram σε κανάλια που ελέγχονται από τους εισβολείς. Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν τα μηνύματα ηλεκτρονικού ταχυδρομείου για ύποπτες διευθύνσεις URL και συνημμένα ZIP ή RAR, ειδικά εκείνα με ονόματα αρχείων που υποδηλώνουν τιμολόγια, λογαριασμούς ή περιεχόμενο που σχετίζεται με εργασίες.
Εξερχόμενες συνδέσεις σε τομείς ανώτατου επιπέδου όπως .xyz, .shop, .infoκαι .net θα πρέπει να αποκλειστεί, με το πλαίσιο του αρχείου προέλευσης να ελέγχεται πάντα.
Η επισκεψιμότητα που κατευθύνεται προς εφαρμογές ανταλλαγής μηνυμάτων τρίτων, όπως το Telegram, θα πρέπει να ελέγχεται για μη εξουσιοδοτημένη μετακίνηση δεδομένων.
Οι ειδοποιήσεις EDR για έγχυση διεργασίας θα πρέπει να αντιμετωπίζονται επειγόντως και οι τροφοδοσίες CTI μαζί με τα ερωτήματα κυνηγιού απειλών θα πρέπει να διατηρούνται ενημερωμένες για να ανιχνεύονται αναδυόμενες απειλές πληροφορικής προτού προκαλέσουν ζημιά.
