Um malware baseado em Python recém-identificado, conhecido como PXA Stealer, foi observado como parte de uma campanha cibercriminosa generalizada que roubou dados confidenciais de vítimas em mais de 60 países.
A operação, chamada de “Ghost in the Zip” pelos pesquisadores de segurança, foi rastreada pela SentinelLabs e pela Beazley Security desde o final de 2024 e mostra uma evolução acentuada na forma como os ladrões de informações são desenvolvidos e implantados.
Bots do Telegram e aplicativos assinados permitem furtividade
O malware é distribuído por meio de arquivos disfarçados de documentos PNG ou PDF, geralmente agrupados com arquivos falsos para distrair usuários e analistas.
Esses arquivos maliciosos carregam o PXA Stealer por meio de software legítimo e assinado, como o Haihaisoft PDF Reader e versões mais antigas do Microsoft Word.
Uma vez implantado, o ladrão exfiltra dados usando um sistema de comando e controle (C2) baseado em Telegram e retransmite informações por meio do Cloudflare Workers.
A campanha tem como alvo vários tipos de dados, incluindo senhas salvas, cookies do navegador, tokens de sessão, dados de preenchimento automático, carteiras de criptomoedas e metadados do sistema. Os dados roubados são compactados em arquivos ZIP antes de serem enviados para canais controlados por invasores para armazenamento e revenda.
Principais descobertas de Ghost in the Zip
De acordo com um Consultivo publicado pela SentinelLabs hoje cedo, a campanha PXA Stealer reflete uma tendência crescente para operações de malware modulares e integradas à nuvem que priorizam a furtividade e a escalabilidade.
Ao combinar técnicas de sideload com aplicativos confiáveis e abusar de plataformas de nuvem amplamente usadas, os invasores estenderam o alcance do malware e dificultaram sua detecção.
A análise da operação do SentinelLabs revela várias características técnicas e operacionais notáveis:
-
Mais de 4000 IPs de vítimas únicas foram identificados
-
Pelo menos 62 países foram afetados, incluindo os EUA, a República da Coreia e a Holanda
-
O código malicioso geralmente é entregue por meio de aplicativos assinados e confiáveis
-
O abuso de infraestrutura inclui Telegram, Cloudflare Workers e Dropbox
-
Uma carga útil do Python se disfarça de “svchost.exe” para furtividade
A ameaça também foi integrada aos mercados do Telegram, onde o acesso a dados roubados é revendido como parte de um modelo de assinatura criminoso.Essas plataformas automatizam grande parte do manuseio e monetização de dados, reduzindo a carga técnica dos agentes de ameaças e expandindo o alcance e a velocidade.
Malware-as-a-Service moderno em ação
Uma onda de ataques observada em julho de 2025, em particular, demonstra novos níveis de sofisticação, disse o SentinelLabs.
Execução atrasada, software assinado e binários renomeados contribuem para um perfil de malware difícil de detectar usando ferramentas padrão. À medida que o roubo de dados se torna mais industrializado, esta campanha destaca como o malware é cada vez mais suportado por ecossistemas de serviço completo que incluem distribuição, tratamento de dados e monetização.
“A evolução da arte comercial nessas campanhas recentes demonstra que esses adversários refinaram meticulosamente suas cadeias de implantação, tornando-as cada vez mais difíceis de detectar e analisar”, disse a SentinelLabs.
“O PXA Stealer e os agentes de ameaças por trás dele continuam a alimentar o maior ecossistema de infostealers.”
Os defensores agora devem se concentrar não apenas em interromper o código, mas em interromper a infraestrutura e os modelos econômicos que sustentam essas operações.