摘要：一场复杂的新型网络犯罪活动已经出现，它利用基于 Python 的信息窃取程序 PXA Stealer 策划了近几个月来最广泛的数据盗窃行动之一。

一场复杂的新型网络犯罪活动已经出现，它利用基于 Python 的信息窃取程序 PXA Stealer 策划了近几个月来最广泛的数据盗窃行动之一。

该恶意软件于 2024 年底首次出现，现已演变为一种高度隐蔽的多阶段操作，成功入侵了 62 个国家/地区的 4,000 多名唯一受害者，窃取的数据包括 200,000 多个唯一密码、数百条信用卡记录以及 400 多万个收集的浏览器 cookie。

此次活动代表了网络犯罪技术的重大飞跃，融合了先进的反分析技术、非恶意诱饵内容以及旨在阻碍安全分析和延迟检测的强化命令和控制管道。

此次行动背后的攻击者表现出了非凡的适应能力，在 2025 年全年不断完善其交付机制和规避策略。

最值得注意的是，他们采用了新颖的侧载技术，涉及合法签名的软件，例如 Haihaisoft PDF Reader 和 Microsoft Word 2013、隐藏的恶意 DLL 以及伪装成常见文件类型的嵌入式档案。

受害者的地理分布显示出真正的全球影响，其中韩国、美国、荷兰、匈牙利和奥地利是受攻击最严重的地区。

SentinelLABS 分析师认定，此次行动是由越南语网络犯罪团伙策划的，他们开发了一个复杂的基于订阅的地下生态系统，可以通过 Telegram 的 API 基础设施高效地自动转售和重复使用被盗凭证。

此次活动与典型的信息窃取行动的区别在于它与全面的货币化框架相结合。

被盗数据直接进入 Sherlock 等犯罪平台，在那里被规范化、分类，并提供给下游网络犯罪分子购买。

这种工业化的数据盗窃方式使行为者能够从事加密货币盗窃或购买访问凭证以渗透组织用于各种恶意目的，从而形成一个自我维持的犯罪经济。

PXA Stealer 采用特别复杂的感染链，从包含大型压缩档案的网络钓鱼诱饵开始。

在 2025 年 7 月观察到的最新迭代中，受害者收到的档案包含合法的、已签名的 Microsoft Word 2013 可执行文件以及名为 msvcr100.dll 的恶意 DLL，该 DLL 在 Word 可执行文件运行时会被侧载。

该攻击利用 Windows 的 DLL 搜索顺序，操作系统在检查系统目录之前在本地目录中搜索所需的库。

执行后，侧载的 DLL 会启动一个复杂的多阶段过程，以逃避检测。

完整技术报告：

来源：小安说科技