MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Largement répandu, ce malware se distingue par des techniques d’anti-analyse sophistiquées : du contenu leurre non malveillant et une infrastructure de commande et de contrôle renforcée, pour compliquer sa détection et retarder la réponse.
Plus de 2 000 adresses IP de victimes uniques ont été identifiées dans au moins 62 pays, dont la Corée du Sud, les États-Unis, les Pays-Bas, la Hongrie et l’Autriche.
La quantité de données volées est impressionnante : plus de 200 000 mots de passe uniques, des centaines de cartes bancaires, et plus de 4 millions de cookies de navigateur, offrant aux cybercriminels un accès direct aux comptes et à la vie numérique et financière des victimes.
1. Apparue fin 2024, ces attaques sont menées par des groupes cybercriminels vietnamiens francophones, qui monétisent les données volées via un écosystème clandestin par abonnement. Ce système repose sur l’API de Telegram pour automatiser la revente et la réutilisation des données.
2. En 2025, ces acteurs ont perfectionné leurs méthodes de diffusion et leurs stratégies d’évasion, en adoptant notamment de nouvelles techniques de sideloading impliquant des logiciels signés légitimes (comme Haihaisoft PDF Reader et Microsoft Word 2013), des DLL malveillantes dissimulées, et des archives déguisées en fichiers courants. Ces campagnes utilisent des techniques sophistiquées pour retarder leur détection, tant par les outils de sécurité que par les analystes.
3. PXA Stealer détourne de nombreuses données sensibles (mots de passe, données de remplissage automatique de navigateur, portefeuilles de cryptomonnaies, données d’applications FinTech, etc.) et les envoie vers Telegram via des bots automatisés. Ces données sont ensuite revendues sur des plateformes criminelles comme Sherlock, où d’autres cybercriminels les exploitent pour voler des cryptomonnaies ou accéder à des réseaux d’entreprise.
Cette campagne reflète une tendance inquiétante : le détournement à grande échelle d’infrastructures légitimes (Telegram, Cloudflare Workers, Dropbox), et une monétisation automatisée en temps réel, réduisant considérablement les barrières techniques pour les cybercriminels.
