Trong những ngày gần đây, cộng đồng an ninh mạng toàn cầu đang rúng động trước sự xuất hiện của mã độc PXA Stealer – một loại phần mềm độc hại được lập trình bằng Python, có khả năng đánh cắp dữ liệu nhạy cảm từ hàng ngàn thiết bị trên khắp thế giới. Đáng chú ý, nhiều dấu hiệu kỹ thuật cho thấy nhóm tin tặc đứng sau có thể là người Việt Nam
PXA Stealer là gì?
PXA Stealer là một loại mã độc được thiết kế để đánh cắp mật khẩu, thông tin thẻ tín dụng, cookie trình duyệt, dữ liệu ví tiền điện tử, thông tin từ ứng dụng VPN và các công cụ quản lý đám mây. Mã độc này sử dụng kỹ thuật DLL side-loading để ngụy trang dưới các tệp hợp pháp, khiến người dùng khó phát hiện
Quy mô tấn công toàn cầu
Theo báo cáo từ Beazley Security và SentinelOne, PXA Stealer đã xâm nhập hơn 4.000 địa chỉ IP tại 62 quốc gia, bao gồm Mỹ, Hàn Quốc, Hà Lan, Hungary và Áo. Tổng cộng, hơn 200.000 mật khẩu, hàng trăm thông tin thẻ tín dụng và hơn 4 triệu cookie trình duyệt đã bị đánh cắp
Dấu hiệu liên quan đến nhóm tin tặc Việt Nam
Các chuyên gia từ Cisco Talos phát hiện nhiều tài khoản Telegram sử dụng tiếng Việt, trong đó có tài khoản “Lone None” từng xuất hiện trong nhóm CoralRaider – một nhóm hacker Việt Nam chuyên buôn bán dữ liệu người dùng
2. Ngoài ra, biểu tượng lá cờ Việt Nam cũng được tìm thấy trong mã nguồn của PXA Stealer, làm dấy lên nghi vấn về nguồn gốc của chiến dịch tấn công này
Cách thức phát tán
Chiến dịch tấn công thường bắt đầu bằng email lừa đảo chứa tệp ZIP, bên trong là tài liệu giả mạo như đơn xin việc. Khi người dùng mở tệp, mã độc sẽ được kích hoạt thông qua PowerShell, vô hiệu hóa phần mềm diệt virus và bắt đầu quá trình đánh cắp dữ liệu
Mối nguy hại và cảnh báo
Dữ liệu bị đánh cắp sẽ được chuyển về các kênh Telegram bí mật, sau đó rao bán trên các nền tảng ngầm như Sherlock. Điều này không chỉ đe dọa đến an toàn thông tin cá nhân, mà còn có thể gây ra thiệt hại tài chính nghiêm trọng cho các tổ chức và cá nhân bị ảnh hưởng.