Styx Stealer
أفاد باحثو الأمن السيبراني عن هجوم قوي للغاية تم اكتشافه حديثًا من قبل جهة تهديد معروفة. تم تصميم هذا البرنامج الخبيث، الذي يستهدف مستخدمي Windows، لسرقة مجموعة واسعة من البيانات، بما في ذلك ملفات تعريف الارتباط للمتصفح وبيانات اعتماد الأمان والرسائل الفورية. في حين تم رصد البرنامج الخبيث الأساسي من قبل، فقد تمت ترقية هذا الإصدار الأحدث لاستنزاف محافظ العملات المشفرة بشكل أكثر فعالية.
إن هذا البرنامج الخبيث هو نسخة متطورة من برنامج Phemedrone Stealer، الذي نال اهتماماً كبيراً في وقت سابق من هذا العام. وهو يستغل ثغرة أمنية في برنامج Microsoft Windows Defender، مما يسمح له بتشغيل البرامج النصية على أجهزة الكمبيوتر المصابة دون إثارة تنبيهات أمنية.
يُقال إن النسخة الجديدة، التي أُطلق عليها اسم Styx Stealer، مرتبطة بفاعل التهديد Fucosreal، المرتبط بـ Agent Tesla - وهو حصان طروادة للوصول عن بُعد لنظام التشغيل Windows (RAT) يُباع غالبًا باسم Malware-as-a-Service (MaaS). بمجرد إصابة جهاز الكمبيوتر، يمكن تثبيت برامج ضارة أكثر، مما قد يؤدي إلى هجمات برامج الفدية.
يتوفر Styx Stealer للإيجار مقابل 75 دولارًا شهريًا، مع ترخيص مدى الحياة بسعر 350 دولارًا. لا يزال البرنامج الخبيث يُباع بنشاط عبر الإنترنت، ويمكن لأي شخص شراؤه. يُعتقد أن مبتكر Styx Stealer نشط على Telegram، حيث يستجيب للرسائل ويطور منتجًا آخر، Styx Crypter، الذي يساعد في التهرب من اكتشاف البرامج الضارة. ونتيجة لذلك، يظل Styx Stealer تهديدًا كبيرًا للمستخدمين في جميع أنحاء العالم.
لا يستهدف البرنامج الخبيث Chrome فحسب؛ بل إنه يصيب أيضًا جميع المتصفحات المستندة إلى Chromium، مثل Edge وOpera وYandex، بالإضافة إلى المتصفحات المستندة إلى Gecko مثل Firefox وTor Browser وSeaMonkey.
يقدم الإصدار الأحدث من Styx Stealer ميزات جديدة لحصاد العملات المشفرة. وعلى عكس سابقه، Phemedrone Stealer، يتضمن هذا الإصدار وظيفة اقتصاص العملات المشفرة التي تعمل بشكل مستقل دون الحاجة إلى خادم Command-and-Control (C2). وفي الوقت نفسه، يتم تثبيت البرامج الضارة على جهاز الضحية.
تجعل هذه التحسينات البرامج الضارة أكثر فعالية في سرقة العملات المشفرة بصمت في الخلفية. فهي تراقب الحافظة في حلقة مستمرة، عادةً بفاصل زمني قدره ميلي ثانية. وعندما يتغير محتوى الحافظة، يتم تنشيط وظيفة crypto-clipper، واستبدال عنوان المحفظة الأصلي بعنوان المهاجم. ويمكن لـ crypto-clipper التعرف على 9 أنماط تعبيرية عادية مختلفة لعناوين المحفظة عبر سلاسل الكتل المختلفة، بما في ذلك BTC وETH وXMR وXLM وXRP وLTC وNEC وBCH وDASH.
لحماية تشغيله، يستخدم Styx Stealer دفاعات إضافية عند تمكين أداة crypto-clipper. وتشمل هذه الدفاعات تقنيات مكافحة التصحيح والتحليل، مع إجراء عمليات فحص مرة واحدة فقط عند تشغيل أداة السرقة. يتضمن البرنامج الخبيث قائمة مفصلة بالعمليات المرتبطة بأدوات التصحيح والتحليل ويقوم بإنهائها إذا تم اكتشافها.
كما حدد المحققون الصناعات والمناطق المستهدفة حيث تم جمع بيانات الاعتماد ومحادثات Telegram ومبيعات البرامج الضارة ومعلومات الاتصال. تم تتبع الهجمات إلى مواقع في تركيا وإسبانيا ونيجيريا - حيث كانت الأخيرة هي قاعدة Fucosreal. ومع ذلك، لا يزال من غير الواضح أي المواقع مرتبطة بشكل مباشر بالجهة المسؤولة عن التهديد، على الرغم من تعقب بعض الهويات عبر الإنترنت.
ويؤكد خبراء أمن المعلومات على أهمية تحديث أنظمة ويندوز باستمرار، وخاصة بالنسبة لأولئك الذين يحتفظون بالعملات المشفرة أو يتاجرون بها على أجهزة الكمبيوتر الخاصة بهم. وعادة ما ينتشر هذا البرنامج الخبيث الجديد من خلال المرفقات في رسائل البريد الإلكتروني والرسائل والروابط غير الآمنة، لذا يجب على مستخدمي أجهزة الكمبيوتر أن يظلوا يقظين ويتجنبوا النقر على المحتوى المشبوه.