Хакеры из Вьетнама рассылают вирус на Python, крадущий пароли, куки и крипту — всё уходит в Telegram
Аналитики Beazley Security и SentinelOne забили тревогу: в сети бушует новая волна атак с участием обновлённой версии PXA Stealer — мощного инфостилера на Python, который уже успел скомпрометировать более 4000 жертв в 62 странах, включая США, Южную Корею и Австрию. Внутренности заражённых компьютеров вскрыты, как консервные банки — более 200 тысяч паролей, сотни банковских карт и миллионы куки-файлов уже оказались в руках злоумышленников.
И всё это, по данным экспертов, — дело рук вьетнамо-язычной группировки, которая не просто ворует, а превращает украденное в полноценный бизнес. Система подписок, Telegram-боты, торговля логами через хакерские платформы типа Sherlock — это уже не «подростки из подвала», а целый цифровой ЧОП с коммерческой моделью.
PXA Stealer впервые засветился в 2024 году в отчётах Cisco Talos. Тогда он бил по вузам и госструктурам. Сегодня — охотится на всех подряд, используя подписанные легитимные программы, DLL side-loading, фальшивые уведомления о нарушениях и многоступенчатые схемы запуска, чтобы остаться незамеченным как можно дольше.
Обновлённая версия PXA Stealer стала заметно умнее — умеет обходить App-Bound Encryption, вытаскивает cookie даже из защищённых браузеров, собирает данные VPN-клиентов, облачных CLI-интерфейсов, сетевых дисков и даже Discord. Передача идёт через Telegram, где бот сливает данные в заранее настроенные каналы и отправляет отчёты «владельцам логов».
Причина проста: Telegram даёт хакерам анонимность, автоматизацию и скорость. Одной кнопкой можно отправить весь «улов» в нужный канал, откуда его уже подбирают перекупщики. Это не просто кража — это автоматизированная фабрика цифрового криминала.
Что делать? Никаких открытий подозрительных архивов, даже если внутри «официальная программа». Не доверяйте письмам от незнакомцев. И, если вы IT-специалист — самое время пересмотреть стратегии мониторинга и защиты конечных точек. Потому что 2025-й показывает: вирусы на Python уже не шутка, а хорошо продуманный бизнес, работающий на экспорт.
похожие материалы
Исследователи предупредили о новой фишинговой кампании, нацеленной на клиентов сервиса
Производитель популярного менеджера паролей LastPass сообщил о новой волне фишинговых атак, направленных на пользователей его сервиса.
Исследователи проанализировали более 1 млрд украденных паролей
Компания Outpost24 опубликовала обновлённый отчёт Breached Passwords Report, основанный на анализе более 1 млрд скомпрометированных паролей, собранных из утечек данных и с помощью инфостиллеров.
Исследователи обнаружила новый модульный бэкдор ShadowRelay в инфраструктуре госсектора
Специалисты центра исследования киберугроз Solar 4RAYS выявили ранее неизвестный модульный бэкдор под названием ShadowRelay, который был обнаружен в инфраструктуре одной из организаций государственного сектора.
В РФ ИИ-технологии используют лишь около 10% компаний
Исследование компании Artezio совместно с Comindware и ассоциациями «Руссофт» и BPM-профессионалов фиксирует характерный для российского рынка «ИИ-парадокс»: бизнес признаёт стратегическую важность искусственного интеллекта, но не спешит переходить к внедрению.
Минцифры РФ создало рабочую группу для борьбы с противоправным использованием дипфейков
Министерство цифрового развития, связи и массовых коммуникаций России сформировало межведомственную рабочую группу, целью которой станет противодействие незаконному использованию технологий типа дипфейк.
AMD выпустила критическое обновление безопасности для процессоров и платформ
Компания AMD опубликовала новый бюллетень безопасности, в котором описаны несколько важных уязвимостей, затрагивающих процессоры и платформы AMD.
Эксперты фиксируют, что злоумышленники все чаще используют резидентные прокси
Владельцы сетей резидентных прокси используют IP-адреса, выданные пользователям интернет-провайдерами и перепродают к ним доступ злоумышленникам.
Фишинг через календарь: как Google Gemini можно использовать для атак
Исследователи по безопасности из компании Miggo рассказали о необычном способе эксплуатации уязвимости, который злоумышленники могут использовать для распространения фишинга и вредоносных ссылок - через пригласительные события в календаре, инициированные ИИ-ассистентом Google Gemini.
Группа Everest заявила о крупной атаке на McDonald’s и похищении почти 1 ТБ данных
Крупная вымогательская группировка Everest ransomware gang, ранее известная по атакам на аэропорты и другие крупные организации, объявила, что стала новым злоумышленником, нацеленным на подразделение McDonald’s в Индии.
Критическая уязвимость в Modular DS Plugin затронула более 40 000 сайтов
Исследователи по безопасности обнаружили критическую уязвимость повышения привилегий в популярном плагине Modular DS Plugin для WordPress, которой уже активно пользуются злоумышленники в реальных атаках.