文章总结： 文档介绍了一种名为PXA的新型窃密木马，它主要针对金融用户和加密货币持有者，通过钓鱼邮件传播。该木马利用隐藏文件夹、伪装系统进程和键盘记录等手段窃取浏览器密码、加密货币钱包等敏感数据，并通过Telegram外传。文章建议用户警惕不明邮件附件、注意异常网络连接及可疑文件，以防范感染。 综合评分： 78 文章分类： 恶意软件,威胁情报,安全意识,终端安全,数据泄露

新型“PXA”窃密木马来袭：专盯银行与加密货币，邮件是主要传播途径

看雪学苑 看雪学苑

看雪学苑

2026年3月27日 18:03 上海

近期，一种名为“PXA”的新型恶意软件正悄然活跃，尤其针对金融行业用户和加密货币持有者发起攻击。网络安全公司CyberProof监测发现，2026年第一季度，与此木马相关的攻击事件激增了约10%。

为什么这种病毒突然变得如此猖獗？专家分析，这与此前几款知名信息窃取软件（如RedLine、Lumma）在2025年被警方捣毁有关。犯罪分子失去了趁手的工具，便开始迅速推广“PXA”木马来填补空白。

对于普通用户来说，感染过程往往毫无察觉。攻击者会发送大量看似正常的钓鱼邮件，它们伪装成报税单、法律文件，甚至Adobe Photoshop的安装包，极具欺骗性。

其中一种常见套路是附带一个名为“Pumaproject.zip”的压缩包。一旦好奇的用户解压并打开了里面的文件，电脑就会在不知不觉中被“埋下”病毒。

这款木马非常狡猾，为了不被杀毒软件发现，它会使用多层手段来隐藏自己：

• “隐身”文件夹：它在电脑中创建一个名为“Dots”的文件夹（在系统中通常以“.”开头，具有隐藏属性），并用一个特定的密码“shodan2201”来保护核心文件。
• 借壳“换脸”：为了让用户放松警惕，它会将恶意文件的名字伪装成常见的系统程序名，如svchost.exe（这是Windows系统的一个正常进程），试图混入正常的系统文件中。
• 键盘记录：更可怕的是，它会伪装成我们常用的办公软件（如WINWORD.EXE）。一旦得手，它就会悄悄启动“键盘记录”功能，你在电脑上输入的每一个字，包括账号和密码，都会被它暗中记录下来。

一旦感染成功，PXA木马就会开始“搜刮”你的数字资产，主要包括：

• 浏览器密码：你在Chrome、Edge等浏览器中保存过的所有网站登录密码。
• 加密货币钱包：如果你的电脑里存放着加密货币钱包的私钥或文件，都会被它盗走。
• 金融网站数据：针对特定的银行或金融平台，窃取相关敏感信息。

为了便于管理偷来的数据，黑客还会为每台被感染的电脑分配一个名为“Verymuchxbot”的身份编号。最终，所有窃取到的信息都会通过Telegram（一款即时通讯软件）的频道悄悄发送给黑客。

最麻烦的是，木马还会在电脑的注册表中留下“后门”，确保每次电脑重启时，它都能自动再次运行，很难彻底清除。

面对这种威胁，普通用户也不必过度恐慌，只需要在日常使用中多留个心眼：

• 警惕邮件附件：对于来历不明的邮件，尤其是带有 .zip 或 .rar 压缩包附件的，即使内容看起来很紧急（比如“逾期账单”），也要先通过其他方式核实发件人身份，切勿随意打开。
• 注意可疑连接：如果发现电脑网络流量异常，或者看到浏览器试图连接一些以 .xyz 或 .shop 结尾的奇怪网站，应提高警惕。
• 关注异常文件：如果在电脑中突然看到以 .vbs 或 .js 结尾的陌生文件，不要双击运行。

资讯来源：综合自网络安全公司CyberProof研究报告及公开威胁情报。

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《新型“PXA”窃密木马来袭：专盯银行与加密货币，邮件是主要传播途径》