Một chiến dịch tấn công mạng quy mô lớn và tinh vi, được cho là do nhóm tin tặc đến từ Việt Nam thực hiện, đang gây chấn động trong cộng đồng an ninh mạng toàn cầu. Chiến dịch này sử dụng mã độc có tên gọi PXA Stealer, một loại mã độc chuyên dùng để đánh cắp thông tin, đã xâm nhập hơn 4.000 địa chỉ IP và đánh cắp dữ liệu nhạy cảm từ hàng loạt quốc gia trên toàn thế giới.
Các chuyên gia an ninh mạng vừa phát hiện ra chiến dịch phát tán mã độc này, được tổ chức một cách bài bản với quy trình tự động hóa thông qua các API của Telegram để thu thập, phân phối và kinh doanh dữ liệu bị đánh cắp. Theo báo cáo chung của Beazley Security và SentinelOne, mã độc PXA Stealer đã tấn công hơn 4.000 địa chỉ IP tại ít nhất 62 quốc gia, bao gồm Hàn Quốc, Mỹ, Hà Lan, Hungary và Áo. Chiến dịch đã ghi nhận sự xuất hiện của mã độc tại nhiều quốc gia trên thế giới, gây ra mối lo ngại lớn về an ninh mạng.
Mã độc PXA Stealer đã đánh cắp hơn 200.000 mật khẩu duy nhất, hàng trăm thông tin thẻ tín dụng và hơn 4 triệu cookie trình duyệt. Điều đáng chú ý là PXA Stealer được viết bằng ngôn ngữ lập trình Python và có khả năng thu thập thông tin đăng nhập, dữ liệu điền tự động của trình duyệt, ví tiền mã hóa, cũng như thông tin từ các tổ chức tài chính. Khả năng của mã độc này cho phép nó thu thập một lượng lớn dữ liệu nhạy cảm, gây ra rủi ro lớn cho các tổ chức và cá nhân bị ảnh hưởng.
Chiến dịch năm 2025 đã có nhiều cải tiến chiến thuật nhằm tránh bị phát hiện, bao gồm việc sử dụng kỹ thuật ‘DLL side-loading’ kết hợp với nhiều lớp tải mã độc phức tạp. Trước khi triển khai mã độc chính, một tài liệu giả mạo sẽ được hiển thị để đánh lừa nạn nhân. Phiên bản cập nhật của PXA Stealer được bổ sung nhiều tính năng tinh vi hơn, bao gồm việc tiêm mã vào các trình duyệt nền tảng Chromium để vượt qua các biện pháp mã hóa, cũng như trích xuất dữ liệu từ ứng dụng VPN, công cụ dòng lệnh của dịch vụ lưu trữ đám mây, các tệp chia sẻ và ứng dụng như Discord.
Một điểm đáng chú ý là mã độc này sử dụng các Bot ID và Chat ID trên Telegram để truyền tải dữ liệu đánh cắp. Dữ liệu sau đó được đưa lên các nền tảng ngầm như ‘Sherlock’ – nơi chuyên buôn bán nhật ký đánh cắp từ các phần mềm stealer – để phục vụ cho các hoạt động tiếp theo như chiếm đoạt tài khoản, rút tiền mã hóa hoặc xâm nhập vào tổ chức. Việc sử dụng Telegram như một công cụ để truyền tải dữ liệu đánh cắp cho thấy sự tinh vi của nhóm tin tặc.
Mối đe dọa từ PXA Stealer hiện đã phát triển thành một hệ thống đa tầng phức tạp, khó bị phát hiện và được vận hành bởi các nhóm tội phạm mạng nói tiếng Việt, có liên hệ với các chợ đen hoạt động trên nền tảng Telegram. Chiến dịch này một lần nữa cho thấy mức độ tinh vi ngày càng cao của các hoạt động tấn công mạng xuất phát từ khu vực Đông Nam Á, đồng thời đặt ra thách thức lớn đối với các cơ quan bảo mật toàn cầu trong việc phát hiện, ngăn chặn và xử lý triệt để các mối đe dọa mạng xuyên biên giới.
