Styx Stealer
Els investigadors de ciberseguretat han informat sobre un atac recentment descobert i molt potent d'un actor d'amenaça conegut. Aquest programari maliciós, que s'adreça als usuaris de Windows, està dissenyat per robar una àmplia gamma de dades, incloses les galetes del navegador, les credencials de seguretat i els missatges instantanis. Tot i que el programari maliciós bàsic s'ha vist abans, aquesta darrera versió s'ha actualitzat per drenar de manera més eficaç les carteres de criptomoneda.
El programari maliciós és una versió evolucionada del Phededrone Stealer, que va cridar l'atenció a principis d'aquest any. Explota una vulnerabilitat de Microsoft Windows Defender, que li permet executar scripts als ordinadors afectats sense activar alertes de seguretat.
La nova variant, anomenada Styx Stealer, està relacionada amb l'actor d'amenaces Fucosreal, que està associat amb l'agent Tesla , un troià d'accés remot de Windows (RAT) que sovint es ven com a programari maliciós com a servei (MaaS). Un cop infectat un ordinador, es pot instal·lar programari més nociu, que pot provocar atacs de ransomware.
El Styx Stealer està disponible per llogar a 75 dòlars al mes, amb una llicència de per vida al preu de 350 dòlars. El programari maliciós encara s'està venent activament en línia i qualsevol pot comprar-lo. Es creu que el creador de Styx Stealer està actiu a Telegram, respon als missatges i desenvolupa un altre producte, Styx Crypter, que ajuda a evadir la detecció anti-malware. Com a resultat, Styx Stealer continua sent una amenaça important per als usuaris de tot el món.
El programari maliciós no només apunta a Chrome; també compromet tots els navegadors basats en Chromium, com Edge, Opera i Yandex, així com navegadors basats en Gecko com Firefox, Tor Browser i SeaMonkey.
L'última versió de Styx Stealer presenta noves funcions per a la recollida de criptomoneda. A diferència del seu predecessor, Phededrone Stealer, aquesta versió inclou una funció de retall criptogràfic que funciona de manera autònoma sense necessitat d'un servidor de comandament i control (C2). Al mateix temps, el programari maliciós s'instal·la a la màquina de la víctima.
Aquestes millores fan que el programari maliciós sigui més eficaç per robar criptomonedes en silenci en segon pla. Controla el porta-retalls en un bucle continu, normalment a intervals de dos mil·lisegons. Quan el contingut del porta-retalls canvia, s'activa la funció de cripto-tallador, substituint l'adreça original de la cartera per l'adreça de l'atacant. El cripto-tallador pot reconèixer 9 patrons d'expressions regulars diferents per a adreces de cartera en diverses cadenes de blocs, com ara BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH i DASH.
Per salvaguardar el seu funcionament, el Styx Stealer utilitza defenses addicionals quan el cripto-tallador està habilitat. Aquestes inclouen tècniques antidepuració i antianàlisi, amb comprovacions realitzades només una vegada quan es posa en marxa el robatori. El programari maliciós inclou una llista detallada dels processos associats a les eines de depuració i anàlisi i els finalitza si es detecta.
Els investigadors també van identificar indústries i regions específiques on es van recollir credencials, xats de Telegram, vendes de programari maliciós i informació de contacte. Els atacs es van localitzar a ubicacions de Turquia, Espanya i Nigèria, aquesta última sent la base de Fucosreal. No obstant això, encara no està clar quines ubicacions estan directament relacionades amb l'actor de l'amenaça, tot i que s'han rastrejat algunes identitats en línia.
Els experts en seguretat de la informació destaquen la importància de mantenir actualitzats els sistemes Windows, especialment per a aquells que tenen o comercialitzen criptomoneda als seus ordinadors. Aquest nou programari maliciós normalment es propaga mitjançant fitxers adjunts en correus electrònics i missatges i enllaços no segurs, de manera que els usuaris de PC haurien de mantenir-se vigilants i evitar fer clic en contingut sospitós.