一款名為PXA Stealer的Python基礎惡意軟體已成為資安威脅的焦點，該軟體由越南語系駭客開發。根據資安研究機構SentinelLabs與Beazley Security的聯合報告，PXA Stealer已感染全球62個國家超過4000個獨特IP地址，受害者涵蓋南韓、美國、荷蘭、匈牙利與奧地利等地。駭客透過精巧的釣魚攻擊與多階段感染鏈，成功竊取超過20萬個獨特密碼、數百張信用卡記錄以及超過400萬個瀏覽器Cookie，這些資料隨後透過Telegram平台轉售，流入地下市場。

PXA Stealer的攻擊手法極具技術性，初期利用釣魚郵件分發壓縮檔案，內含合法簽署的軟體（如Haihaisoft PDF Reader或Microsoft Word 2013）與惡意DLL檔案。這些DLL檔案通過側載技術（DLL sideloading）建立持久性，並從Dropbox下載額外惡意程式。2025年4月的一波攻擊中，駭客使用偽裝成版權侵權通知的誘餌文件，引誘受害者執行惡意程式。到了7月，攻擊鏈進一步升級，採用重命名為文檔的Microsoft Word 2013執行檔，側載msvcr100.dll，同時顯示假稅單文件（Tax-Invoice-EV.docx）分散注意力。這些步驟不僅規避沙箱檢測，還延遲安全分析。

PXA Stealer能從近40種瀏覽器（包括Chrome與Firefox）竊取密碼、Cookie及個人識別資訊，並針對加密貨幣錢包（如Exodus）與金融平台（如Binance）發動攻擊。竊取的資料透過Telegram API以HTTP POST請求傳輸至駭客控制的頻道，再轉售至Sherlock等市場。這種利用合法基礎設施（如Telegram與Cloudflare Workers）的策略，自動化了資料外洩與銷售流程，大幅提升效率。研究顯示，駭客透過訂閱制模式，將竊取的資料分發給下游犯罪團體，涉及銀行帳戶、數位身份與加密貨幣盜竊。

南韓與美國等國的用戶首當其衝，竊取的Cookie與認證令牌可能導致帳戶被盜，帶來財務與隱私損失。SentinelLabs專家指出，PXA Stealer的快速進化顯示駭客已形成成熟的犯罪生態系統，透過Telegram市場持續盈利。對企業而言，這提醒需加強員工資安培訓，特別是識別釣魚郵件與壓縮檔案威脅。建議實施雙重認證（MFA）、監控異常Telegram連線，並更新防毒軟件以對抗Python編譯程式。面對PXA Stealer等新型資安威脅，企業應主動升級防護機制，包含行為分析與端點安全監控。駭客利用合法工具與Telegram的隱匿性，挑戰傳統防禦，需透過國際合作與情報共享應對。用戶應避免開啟不明來源檔案，並定期更新密碼以降低風險。

資料來源：https://www.theregister.com/2025/08/04/pxa_stealer_4000_victims/?td=rt-3a