2026年Q1,全球金融机构的安全团队发现一个反常现象——钓鱼邮件的打开率没涨,但中招后的损失却翻了倍。问题出在一种叫PXA Stealer的恶意软件,它在警方打掉Lumma、Rhadamanthys、RedLine三大窃密平台后,以每月8%-10%的速度接管了地下市场。
这不是技术升级的故事,是生态位填补的经典案例。就像森林大火后最先长出来的不是参天大树,而是藤蔓。
「Verymuchxbot」:一个被误读的攻击样本
CyberProof的研究团队在追踪这个代号时,最初以为只是PXA Stealer的常规变种。2025年8月的公开报告里,这款恶意软件还显得粗糙——依赖明显的可疑域名,载荷体积大,行为特征容易被EDR(终端检测与响应)标记。
但2026年Q1捕获的样本完全不同。攻击者把ZIP文件命名为Pumaproject.zip,托管在downloadtheproject[.]xyz这类看似正常的域名下。解压后是一个叫Document.docx.exe的文件,图标和扩展名精心设计成Word文档的样子——Windows默认隐藏已知扩展名的设置,在这里成了帮凶。
执行后,真正的戏法才开始。恶意程序会在系统深处创建一个名为「Dots」的隐藏文件夹,里面塞着完整的Python运行环境、若干库文件,以及被重命名为picture.png的合法WinRAR程序。另一份文件叫Shodan.pdf,实则是加密压缩的攻击载荷。
这种「合法工具+伪装命名」的组合,让传统杀毒软件很难判断——它调用的都是系统自带功能,签名校验全过。
Telegram成了数据高速公路
PXA Stealer的核心功能并不新鲜:扒浏览器保存的密码、挖加密货币钱包、捞各类凭证。但它的数据回传通道选得刁钻——Telegram。
金融机构的网络监控体系对HTTP/HTTPS流量盯得很紧,对即时通讯软件的出站连接却相对宽松。攻击者把窃取的数据打包发往特定频道,流量混在正常用户消息里,既不用自建C2服务器暴露IP,又能利用Telegram的加密规避深度包检测。
更隐蔽的是持久化机制。恶意软件会在注册表写入启动项,机器重启后自动复活。很多员工中招后以为「删了那个文档就没事了」,几天后密码库已经被搬空。
诱饵文档的多样性也值得细品。CyberProof看到的样本包括但不限于:求职简历、Photoshop安装包、税务表格、法律文件。这种跨部门覆盖策略直指金融企业的结构性弱点——风控部门警惕性高,但HR、行政、法务的邮箱过滤规则往往宽松半档。
一场关于「正常」的攻防博弈
这次攻击最棘手的地方,在于它对「正常系统行为」的模仿精度。攻击者大量使用Windows原生工具:certutil解码证书、PowerShell执行脚本、WMI查询系统信息——这些工具本身无害,组合起来却是完整的杀伤链。
安全团队面临一个经典困境:收紧规则会误杀正常业务,放宽规则则漏过攻击。某跨国银行的安全负责人向CyberProof反馈,他们曾尝试拦截所有包含ZIP附件的外部邮件,结果第一天就堵死了供应商的批量报价单,业务部门投诉量爆表。
PXA Stealer的爆发时机也耐人寻味。2025年警方连续打掉三个大型窃密平台,地下市场出现真空期。按照以往规律,这类工具的生命周期本应更长——Lumma运营了两年多,RedLine更是从2019年活到了2025年。但执法行动加速了迭代,幸存者和新入局者被迫快速进化。
8%-10%的季度增速放在消费互联网不算什么,在网络安全领域却足以重塑威胁格局。金融行业的特殊性在于,单点失窃的杠杆效应极高——一个初级员工的浏览器密码,可能直通核心系统的VPN入口。
目前尚无公开报道的PXA Stealer大规模资金失窃案例,但CyberProof注意到,2026年Q1多家金融机构的「凭证重置」通知频率异常上升。这是事发后最稳妥的补救动作,也是攻击存在过的间接证据。
攻击者显然在赌一件事:金融机构的响应速度,赶不上他们更换诱饵主题的速度。当你的安全培训刚覆盖「警惕简历邮件」,下一轮钓鱼已经伪装成Adobe更新通知。
这场战争没有终局,只有回合。下一个被填上的生态位,会是什么?
热门跟贴