… o uso em diferentes propósitos, isto já sabemos. Mas, para criar malwares? Pois foi justamente isto, o que aconteceu: pesquisadores de segurança da SentinelLabs e da Beazley Security descobriram uma campanha em larga escala usando um infostealer escrito em Python chamado PXA Stealer (um tipo de malware projetado para roubar informações confidenciais de um dispositivo infectado, as quais podem incluir credenciais de login, dados bancários, informações pessoais e outros dados sensíveis), ligado a grupos cibercriminosos do Oriente…
“More than 4,000 victims across 62 countries have been infected by stealthy infostealers pilfering people’s passwords, credit card numbers, and browser cookies, which are then sold to other criminals on Telegram-based marketplaces. South Korea, the US, the Netherlands, Hungary, and Austria have been the hardest-hit countries in this ongoing campaign, according to SentinelLabs and Beazley Security, which detailed their findings in a Monday report and said the final payload delivers the Python-based PXA Stealer.”
— by The Register.
Inicialmente detectado no final de 2024, atacando entidades de educação e governo na Europa e Ásia, ele evoluiu para uma operação sofisticada e em múltiplas etapas, com técnicas avançadas de evasão, como uso de aplicativos legítimos “sideloaded”, conteúdo de isca e DLLs maliciosas ocultas para evitar detecção. Os atacantes comprometeram mais de 4.000 endereços IP únicos em pelo menos 62 países, sendo as regiões mais atingidas a Coreia do Sul, os Estados Unidos, os Países Baixos, a Hungria e a Áustria. Eles roubaram mais de 200.000 senhas únicas, centenas de registros de cartões de crédito e mais de 4 milhões de cookies de navegador.
O PXA Stealer mira uma ampla gama de fontes de dados: credenciais e cookies descriptografados de navegadores baseados em Chromium e em Gecko (engine HTML atualmente utilizada pelo Firefox), informações de preenchimento automático, softwares financeiros e de blockchain, ferramentas de linha de comando de nuvem, clientes VPN, aplicativos de compartilhamento de arquivos e até o Discord. A variante de julho de 2025 se destaca por injetar uma DLL em instâncias de navegadores em execução para contornar a proteção de App-Bound Encryption.
A exfiltração dos dados é feita por meio de uma rede de bots e canais no Telegram, usando a API do Telegram e a infraestrutura do Cloudflare Workers para transmitir as informações roubadas. O ecossistema também oferece a revenda automática em mercados clandestinos como Sherlock, Moon Cloud e Daisy Cloud (os operadores assinam estes serviços e acessam os dados das vítimas, em tempo real). Os pesquisadores destacam que essa campanha ilustra uma tendência mais ampla: o uso de infraestrutura legítima para crimes cibernéticos furtivos e em grande escala.
Sim, o Python pode ser perfeitamente utilizado para criar estas classes de softwares, já que ele suporta uma série de biblioteca que possibilitam acessar os recursos dos sistemas e assim, realizar intervenções maliciosas. Embora seja uma linguagem interpretada, alguns empacotadores possibilitam gerar executáveis para que sejam carregados pelos sistemas hospedeiros, tornando-os adequados para infectar os sistemas hospedeiros e causar uma série de tipos de estragos.
Inclusive, confesso que estou curioso em relação ao código-fonte… &;-D