Styx Stealer
Изследователите на киберсигурността съобщиха за новооткрита, силно мощна атака от известен заплаха. Този зловреден софтуер, който е насочен към потребителите на Windows, е предназначен да краде широк набор от данни, включително бисквитки на браузъра, идентификационни данни за сигурност и незабавни съобщения. Докато основният злонамерен софтуер е бил виждан и преди, тази най-нова версия е надстроена, за да източва по-ефективно портфейлите за криптовалута.
Зловреден софтуер е еволюирала версия на Phemedrone Stealer, който привлече вниманието по-рано тази година. Той използва уязвимост в Microsoft Windows Defender, позволявайки му да изпълнява скриптове на засегнатите компютри, без да задейства предупреждения за сигурност.
Съобщава се, че новият вариант, наречен Styx Stealer, е свързан със заплахата Fucosreal, който е свързан с Agent Tesla — троянски кон за отдалечен достъп на Windows (RAT), често продаван като Malware-as-a-Service (MaaS). След като компютърът е заразен, може да се инсталира по-вреден софтуер, което потенциално води до атаки на ransomware.
Styx Stealer се предлага под наем за $75 на месец, с доживотен лиценз на цена от $350. Зловреден софтуер все още се продава активно онлайн и всеки може да го купи. Смята се, че създателят на Styx Stealer е активен в Telegram, отговаря на съобщения и разработва друг продукт, Styx Crypter, който помага да се избегне откриването на злонамерен софтуер. В резултат на това Styx Stealer остава значителна заплаха за потребителите по целия свят.
Зловреден софтуер не е насочен само към Chrome; той също компрометира всички базирани на Chromium браузъри, като Edge, Opera и Yandex, както и базирани на Gecko браузъри като Firefox, Tor Browser и SeaMonkey.
Най-новата версия на Styx Stealer въвежда нови функции за събиране на криптовалута. За разлика от своя предшественик, Phemedrone Stealer, тази версия включва функция за крипто-изрязване, която работи автономно, без да се нуждае от сървър за командване и контрол (C2). В същото време зловредният софтуер се инсталира на машината на жертвата.
Тези подобрения правят зловредния софтуер по-ефективен при тиха кражба на криптовалута във фонов режим. Той следи клипборда в непрекъснат цикъл, обикновено на интервали от две милисекунди. Когато съдържанието на клипборда се промени, функцията за крипто-клипър се активира, заменяйки оригиналния адрес на портфейла с адреса на нападателя. Крипто-клипърът може да разпознае 9 различни модела на регулярен израз за адреси на портфейли в различни блокови вериги, включително BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH и DASH.
За да защити работата си, Styx Stealer използва допълнителни защити, когато крипто-клипърът е активиран. Те включват техники за отстраняване на грешки и анти-анализ, като проверките се извършват само веднъж, когато крадецът се стартира. Злонамереният софтуер включва подробен списък от процеси, свързани с инструменти за отстраняване на грешки и анализ, и ги прекратява, ако бъдат открити.
Разследващите също така идентифицираха целеви индустрии и региони, където бяха събрани идентификационни данни, чатове в Telegram, продажби на зловреден софтуер и информация за контакт. Атаките са проследени до места в Турция, Испания и Нигерия - последната е базата на Fucosreal. Въпреки това остава неясно кои местоположения са пряко свързани със заплахата, въпреки че някои онлайн самоличности са били проследени.
Експертите по информационна сигурност подчертават важността на поддържането на Windows системите актуални, особено за тези, които държат или търгуват с криптовалута на своите компютри. Този нов злонамерен софтуер обикновено се разпространява чрез прикачени файлове в имейли и съобщения и опасни връзки, така че потребителите на компютри трябва да останат бдителни и да избягват да кликват върху подозрително съдържание.