1 бот, 4000 жертв и Telegram, который не возражает

PXA Stealer Telegram SentinelLABS Beazley Security инфостилер Cloudflare криптокошельки
1 бот, 4000 жертв и Telegram, который не возражает
PXA Stealer Telegram SentinelLABS Beazley Security инфостилер Cloudflare криптокошельки

Вы всё сделали правильно, именно поэтому кампания сработала.

image

Специалисты SentinelLABS и Beazley Security выявили масштабную кибершпионскую кампанию, в центре которой оказался Python-инфостилер PXA Stealer. За последние месяцы вредонос достиг нового уровня маскировки и автоматизации, превратившись в один из самых труднообнаружимых инструментов киберпреступников, работающих через Telegram-инфраструктуру.

С момента появления PXA Stealer в конце 2024 года, его архитектура претерпела значительные изменения. Последняя активная волна атак, начавшаяся в июле 2025 года, демонстрирует особенно продвинутую тактику. Вредонос распространяется в виде архива с легитимным исполняемым файлом — например, Microsoft Word 2013 или Haihaisoft PDF Reader — и модифицированной библиотекой DLL, запускаемой методом сайдлоадинга. После активации вредонос разворачивает сложную цепочку, где ключевые этапы маскируются под безобидные действия, включая открытие поддельных документов, а также извлечение вредоносных компонентов из специально сформированных PDF и PNG-файлов.

Критическим элементом атаки остаётся использование Telegram как канала связи и эксфильтрации данных. Управление ботами происходит через API Telegram, а для сокрытия следов применяется маршрутизация через Cloudflare Workers . Каждое заражение получает уникальный идентификатор, который сопоставляется с конкретным Telegram-ботом и каналом. Выгруженные данные содержат ZIP-архивы с паролями, cookies, токенами, файлами криптокошельков, данными автозаполнения, учетными записями мессенджеров, VPN и даже SSH-ключами.

Жертвами стали более 4000 уникальных IP-адресов из 62 стран, включая Южную Корею, США, Нидерланды, Австрию и Венгрию. В некоторых случаях вредоносное ПО предпочитало конкретные регионы: например, бот ADN_2_NEW_VER_BOT особенно активно действовал в Израиле и на Тайване.

PXA Stealer поддерживает кражу информации из более чем 50 браузеров, включая Chrome, Edge, Brave, Opera, Vivaldi, Whale и CocCoc. Также целевыми оказываются десятки браузерных криптовалютных расширений, таких как MetaMask, Trust Wallet, Exodus, Uniswap и Tonkeeper. Помимо этого, сканируются десктопные кошельки и приложения — от Armory и Monero до FileZilla, KeePass и ProtonVPN.

Обнаруженные данные подтверждают, что злоумышленники действуют через единый Telegram-бот Logs_Data_bot, настраивая несколько каналов: для получения новых логов, уведомлений и сброса данных. Названия каналов, вроде "James – New Logs" или "MRB – Reset Logs", напрямую указывают на автоматизированную природу операции. За всеми этими псевдонимами скрываются аккаунты пользователей Telegram, маскирующиеся под ботов, но управляемые вручную.

Инфостилер не только извлекает данные, но и маскирует трафик. Благодаря HTTPS и отсутствию запускаемых клиентских процессов Telegram, активность не выделяется на уровне сетевого анализа. Сам эксфильтруемый архив получает имя по формату, включающему IP-адрес и имя хоста жертвы.

По данным анализа, все зафиксированные цепочки ведут к одному Telegram BotID, встроенному в каждую вредоносную сборку. Через него также обнаружена связь с сайтом probiv[.]gg, откуда осуществляется перенаправление на бот Sherlock — автоматизированный поисковый сервис по базе украденных логов. Это подтверждает, что украденная информация сразу же попадает в криминальную инфраструктуру, где проходит нормализацию, категоризацию и далее продаётся через Telegram-ботов вроде SherLock1u_BOT.

Важным элементом продуманной схемы стало внедрение в финальный этап поддельного Python-интерпретатора, замаскированного под системный процесс svchost.exe, что позволяет вредоносному скрипту работать незаметно в пользовательском пространстве. Использование архивов с расширениями PNG и PDF дополнительно усложняет анализ.

Авторы вредоносной кампании, по оценке аналитиков, действуют из вьетнамоязычного сегмента киберпреступного сообщества. Они не просто продают логи, а выстраивают цепочку — от кражи данных до их доставки клиенту. Telegram выступает в этом процессе как дешёвый, эффективный и почти не контролируемый посредник.

Данная кампания демонстрирует опасный тренд: автоматизация атак, опора на легитимную инфраструктуру, и полная интеграция в теневую экономику. PXA Stealer — не просто очередной вредонос. Это часть криминального конвейера, где каждый бот, канал и токен имеет своё место в цепи поставки краденых данных.