
Fejlett trükkökkel támad
A PXA Stealer először 2024 végén bukkant fel, de folyamatosan fejlődik: már közel 40 különböző böngészőből képes adatokat szerezni, legyen szó jelszavakról, személyes adatokról, automatikus kitöltési információkról vagy hitelesítési tokenekről. Kifejezetten célba veszi a böngészőbővítményeket, főleg kriptotárcák – mint például az Exodus (Exodus), a Magic Eden (Magic Eden) vagy a Crypto.com (Crypto.com) – esetében, illetve oldalakat, mint a Coinbase (Coinbase), a Kraken (Kraken) vagy a PayPal (PayPal). A kártevő akár DLL-eket is képes injektálni a futó böngészőkbe, hogy kikerülje a titkosított adatvédelmet.
Fertőzés és terjesztés
A támadás tipikusan adathalász e-maileken vagy fertőzött weboldalakon keresztül történik. A csatolmányok egy legális programot rejtenek (például PDF-olvasót), amely észrevétlenül tölti be a kártékony DLL-t. Így futtatás közben a gép fertőzötté válik, anélkül hogy riasztást kapna a felhasználó.
Áldozatok és kereskedelem
A vírus már 62 országban ütötte fel a fejét, főként Dél-Koreában, az Egyesült Államokban, Hollandiában, Magyarországon és Ausztriában. Mögötte vietnami bűnözők állnak, akik a begyűjtött adatokat nem maguk használják, hanem Telegram-csoportokon keresztül értékesítik a feketepiacon. Eddig több mint 200 000 jelszót, több száz bankkártya-információt és 4 milliónál is több cookie-t szereztek meg, a károk pedig forintban akár a százmilliós nagyságrendet is elérhetik.