Utilizzando il malware PXA Stealer e sfruttando l'infrastruttura di Telegram come canale di vendita, si è venuta a creare una vera e propria catena di montaggio del crimine informatico che ha già colpito oltre 4.000 vittime in 62 paesi. Il bottino raccolto fino ad oggi comprende più di 200.000 password uniche, centinaia di dati di carte di credito e oltre 4 milioni di cookie di navigazione, tutti destinati ai mercati clandestini online.
Secondo l'analisi congiunta condotta da SentinelLabs e Beazley Security, pubblicata lunedì scorso, l'operazione ha mostrato una rapida evoluzione tattica nel corso del 2025. I ricercatori Jim Walter e Alex Delamotte di SentinelLabs, insieme al team di Beazley Security formato da Francisco Donoso, Sam Mayers, Tell Hause e Bobby Venal, hanno documentato come questa minaccia sia emersa inizialmente alla fine del 2024 per poi maturare in un'operazione multi-stadio altamente evasiva.
La distribuzione geografica degli attacchi rivela un pattern interessante: Corea del Sud, Stati Uniti, Paesi Bassi, Ungheria e Austria rappresentano i bersagli principali di questa campagna in corso. Cisco Talos aveva già identificato PXA Stealer per la prima volta nel novembre 2024, ma da allora i criminali hanno continuato a perfezionare le loro tecniche di distribuzione ed evasione.
Due ondate d'attacco decisive
L'analisi delle campagne di aprile e luglio 2025 illustra chiaramente l'evoluzione delle strategie criminali. Durante la prima ondata di aprile, gli aggressori hanno impiegato email di phishing per indurre le vittime a scaricare un archivio contenente una copia firmata legittima di Haihaisoft PDF Reader accompagnata da una DLL malevola.
Il file DLL stabilisce la persistenza sulla macchina infetta attraverso il Registro di Windows e recupera remotamente ulteriori eseguibili Windows tramite Dropbox per eseguire le fasi successive dell'attacco. Durante questa campagna, i ricercatori hanno distribuito diversi infostealer tra cui LummaC2 e Rhadamanthys Stealer, notando per la prima volta il passaggio tattico verso payload basati su Python invece degli tradizionali eseguibili Windows.
La campagna di luglio ha dimostrato una sofisticazione ancora maggiore nelle tecniche di evasione, includendo l'uso di documenti esca non malevoli. In questo caso, l'esca di phishing conteneva un eseguibile Microsoft Word 2013 legittimo e firmato, denominato per sembrare un documento Word, una DLL malevola caricata lateralmente dall'eseguibile e payload delle fasi successive.
L'ultima variante di PXA Stealer rappresenta un salto qualitativo significativo nelle capacità di furto dati. Il malware può sottrarre informazioni da quasi 40 browser diversi, inclusi quelli basati su Gecko e Chromium, decifrando password salvate e rubando cookie, informazioni personali identificabili, dati di compilazione automatica e token di autenticazione.
Una delle funzionalità più preoccupanti è la capacità di iniettare una DLL nelle istanze in esecuzione dei browser, incluso Chrome, prendendo di mira la chiave di crittografia App-Bound di Chrome per neutralizzare i meccanismi di crittografia interni. Il malware non si limita ai browser: prende di mira oltre tre dozzine di estensioni di portafogli di criptovalute, inclusi Crypto.com, ExodusWeb3 e Magic Eden Wallet.
Il mercato nero automatizzato
Dopo aver trafugato tutte queste informazioni sensibili e finanziarie, il malware esfiltrata il bottino tramite richieste HTTP POST all'API di Telegram. Da lì, i dati vengono incanalati verso altri forum criminali basati su Telegram come Sherlock, dando ai criminali accesso facilitato a conti bancari delle vittime, portafogli crypto, VPN, identità digitali e altri dati che le persone preferirebbero mantenere privati.
Come spiegano i ricercatori di sicurezza: "L'idea dietro lo sfruttamento dell'infrastruttura legittima di Telegram è guidata dal desiderio di automatizzare l'esfiltrazione e semplificare il processo di vendita, il che consente agli attori di consegnare i dati più efficientemente ai criminali a valle". Questo approccio trasforma il cybercrimine in un'operazione industriale, dove l'automazione e l'efficienza diventano fattori chiave del successo criminale.