Recientes investigaciones de SentinelLabs y Beazley Security han revelado una alarmante serie de ataques cibernéticos. Estos se basan en un sofisticado infostealer escrito en Python, conocido como PXA Stealer. Su difusión se extiende a nivel global, complicando la detección por parte de los sistemas de seguridad.
Un panorama global afectado
Más de 2,000 direcciones IP únicas han sido rastreadas en al menos 62 países. Entre estos se encuentran naciones como Corea del Sur, Estados Unidos, Países Bajos, Hungría y Austria. Esto evidencia una tendencia de ataques cibernéticos sin fronteras, que afectan a miles de personas.
Datos comprometidos en gran escala
Los números son alarmantes. Se han robado más de 200,000 contraseñas únicas y cientos de datos de tarjetas de crédito. Además, se han recopilado más de 4 millones de cookies de navegador. Este acceso proporciona a los delincuentes una puerta abierta a la vida digital y financiera de las víctimas.
Ciberdelincuentes y sus métodos
Desde finales de 2024, grupos de ciberdelincuentes vietnamitas han intensificado sus ataques. Utilizan un modelo de negocio basado en la suscripción para monetizar los datos robados. Esto se lleva a cabo a través de un ecosistema clandestino que opera con la ayuda de la API de Telegram. Este enfoque permite la reventa eficiente de la información.
Estrategias de evasión sofisticadas
Para 2025, estos criminales han perfeccionado sus técnicas. Implementan nuevos métodos de sideloading que involucran software legítimo, como Haihaisoft PDF Reader y Microsoft Word 2013. Además, ocultan DLL maliciosas y disfrazan archivos en formatos comunes. Este enfoque dificulta la detección tanto para herramientas de seguridad como para analistas.
PXA Stealer no solo roba contraseñas, sino también datos de navegación automática, carteras de criptomonedas y aplicaciones FinTech. Los delincuentes envían esta información a través de bots en Telegram. Posteriormente, revenden estos datos en plataformas ilegales como Sherlock. Esto permite a otros criminales acceder a criptomonedas o infiltrarse en redes empresariales.
Una preocupación creciente
Estas campañas reflejan una tendencia preocupante. Los delincuentes están utilizando infraestructuras legítimas como Telegram, Cloudflare Workers y Dropbox. Esto facilita un sistema de monetización automatizada en tiempo real, lo que reduce significativamente las barreras para nuevos actores en el ámbito del crimen cibernético.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.
