Chiến dịch PXA Stealer: Mã độc đánh cắp dữ liệu quay trở lại mạnh mẽ

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.749 bài viết
Chiến dịch PXA Stealer: Mã độc đánh cắp dữ liệu quay trở lại mạnh mẽ
WhiteHat Team
Trong bối cảnh nhiều chiến dịch triệt phá các nhóm tội phạm mạng lớn diễn ra trong năm 2025, giới chuyên gia an ninh mạng ghi nhận một làn sóng mã độc mới đang nhanh chóng lấp đầy “khoảng trống”. Đáng chú ý, trong quý I/2026 cho thấy phát hiện sự gia tăng mạnh của PXA Stealer vẫn đang nhắm mục tiêu vào các tổ chức tài chính trên toàn cầu thông qua các chiến dịch phishing tinh vi.
1774951876827.png

PXA Stealer là gì, xuất hiện ở đâu và vì sao gia tăng mạnh?

PXA Stealer là một loại mã độc thuộc nhóm “infostealer”, chuyên thu thập và đánh cắp thông tin nhạy cảm như tài khoản, mật khẩu, cookie trình duyệt và dữ liệu tài chính. Không giống các lỗ hổng phần mềm có mã CVE hay điểm CVSS cụ thể, đây là một chiến dịch tấn công sử dụng kỹ thuật lừa đảo kết hợp mã độc, không dựa trên một lỗi đơn lẻ.

Theo ghi nhận, sau khi các dòng mã độc nổi tiếng như Lumma, RedLine hay Rhadamanthys bị triệt phá, PXA Stealer đã nhanh chóng nổi lên, với mức tăng trưởng hoạt động ước tính từ 8-10%. Điều này cho thấy hệ sinh thái tội phạm mạng luôn có khả năng thích nghi và thay thế rất nhanh.​

Cơ chế tấn công: Khi một file ZIP cũng có thể là “bẫy”

Chuỗi tấn công của PXA Stealer bắt đầu từ những email lừa đảo được thiết kế tinh vi. Nội dung có thể giả dạng CV xin việc, hóa đơn, tài liệu pháp lý hoặc phần mềm quen thuộc như Photoshop.

Khi người dùng nhấp vào liên kết, họ sẽ tải về một file ZIP độc hại, ví dụ như “Pumaproject.zip”. Sau khi mở file, quá trình lây nhiễm diễn ra theo nhiều lớp phức tạp:​
  • Một file thực thi sẽ giải nén môi trường Python cùng các thư viện cần thiết để chạy mã độc​
  • Một tài liệu Word được sử dụng để “side-load” các thành phần tiếp theo, kết hợp với các công cụ hợp pháp của Windows (LOLBins) để tránh bị phát hiện​
  • Hệ thống tạo một thư mục ẩn tên “Dots”, nơi chứa các payload chính​
Tiếp theo, mã độc sử dụng công cụ hợp pháp như Certutil để giải mã dữ liệu, ngụy trang file độc hại dưới dạng PDF (“Shodan.pdf”), rồi tiếp tục giải nén bằng WinRAR được đổi tên thành file ảnh (“picture.png”).

Đỉnh điểm của chuỗi tấn công là việc đổi tên trình thông dịch Python thành “svchost.exe” nhằm đánh lừa phần mềm bảo mật. Sau đó, mã độc được thực thi và tiến hành tiêm payload vào trình duyệt.​

Cách thức hoạt động và đánh cắp dữ liệu

Sau khi xâm nhập thành công, PXA Stealer hoạt động âm thầm trong nền:​
  • Theo dõi hoạt động truy cập website của người dùng​
  • Thu thập dữ liệu khi phát hiện truy cập vào các trang mục tiêu​
  • Đánh cắp cookie, thông tin đăng nhập và dữ liệu phiên​
  • Gửi dữ liệu về máy chủ điều khiển thông qua Telegram bot​
Ngoài ra, mã độc còn thiết lập cơ chế duy trì bằng cách thêm khóa registry, đảm bảo tiếp tục hoạt động ngay cả khi máy tính khởi động lại.​

Rủi ro và hậu quả khi bị khai thác

Việc nhiễm PXA Stealer có thể dẫn đến nhiều hệ lụy nghiêm trọng:​
  • Lộ thông tin đăng nhập tài khoản ngân hàng, email, hệ thống nội bộ​
  • Bị chiếm quyền truy cập vào các nền tảng doanh nghiệp​
  • Dữ liệu nhạy cảm bị rò rỉ ra bên ngoài​
  • Trở thành bàn đạp cho các cuộc tấn công sâu hơn như ransomware hoặc APT​
Đặc biệt, với các tổ chức tài chính hậu quả có thể gây thiệt hại lớn về kinh tế và uy tín.​

Phạm vi và mức độ ảnh hưởng

Chiến dịch này mang tính toàn cầu, nhắm vào nhiều lĩnh vực nhưng tập trung mạnh vào ngành tài chính. Với kỹ thuật lẩn tránh tinh vi, sử dụng công cụ hợp pháp và payload đa lớp, khả năng phát hiện sớm là tương đối khó.

Việc sử dụng các nền tảng phổ biến như Telegram để exfiltrate dữ liệu càng khiến việc truy vết trở nên phức tạp hơn.​

Cách phòng tránh và khuyến nghị từ chuyên gia

Hiện tại không có “bản vá” cụ thể vì đây không phải là lỗ hổng phần mềm mà là chiến dịch tấn công. Do đó, việc phòng tránh phụ thuộc vào nhận thức và kiểm soát hệ thống.

Các chuyên gia khuyến nghị:​
  • Không tải file từ email hoặc link không rõ nguồn gốc, đặc biệt là file ZIP​
  • Cảnh giác với các file có tên liên quan đến “invoice”, “payment”, “resume”​
  • Giám sát việc thực thi script từ thư mục tạm hoặc thư mục email​
  • Chặn kết nối đến các domain đáng ngờ như .xyz, .shop, .info​
  • Theo dõi hành vi bất thường như process injection hoặc tiến trình giả mạo (svchost.exe bất thường)​
  • Triển khai các giải pháp EDR/XDR để phát hiện hành vi thay vì chỉ dựa vào chữ ký​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Chiến dịch DarkSpectre phơi bày mạng lưới tiện ích trình duyệt độc hại quy mô lớn
  • Chiến dịch gián điệp “Jewelbug” lan sang Nga, Đông Nam Á nằm trong vùng đỏ
  • Chiến dịch Quishing nhắm vào người dùng Microsoft, phát tán mã độc qua QR code
  • Chiến dịch mã độc giả mạo cơ quan Ukraine lan rộng, lan cả sang Việt Nam
  • Chiến dịch trojan ngân hàng nhắm vào người dùng Android Việt Nam và Indonesia
  • GhostRedirector: Chiến dịch tấn công IIS thao túng Google và phát tán SEO gian lận
    • Thẻ
    exfiltrate pxa stealer telegram zip
    Bên trên