Styx Stealer
Výzkumníci z oblasti kybernetické bezpečnosti informovali o nově objeveném, vysoce účinném útoku známého aktéra hrozby. Tento malware, který se zaměřuje na uživatele Windows, je navržen tak, aby ukradl širokou škálu dat, včetně souborů cookie prohlížeče, pověření zabezpečení a rychlých zpráv. Zatímco jádro malwaru bylo vidět již dříve, tato nejnovější verze byla upgradována, aby efektivněji odčerpávala kryptoměnové peněženky.
Malware je vyvinutá verze Phemedrone Stealer, která si získala pozornost začátkem tohoto roku. Využívá zranitelnost v programu Microsoft Windows Defender a umožňuje mu spouštět skripty na postižených počítačích bez spouštění výstrah zabezpečení.
Nová varianta, nazvaná Styx Stealer, je údajně spojena s aktérem hrozby Fucosreal, který je spojován s agentem Teslou — trojanem Windows Remote Access Trojan (RAT), často prodávaným jako Malware-as-a-Service (MaaS). Jakmile je počítač infikován, lze nainstalovat další škodlivý software, což může vést k útokům ransomwaru.
Styx Stealer je k dispozici k pronájmu za 75 $ měsíčně, s doživotní licencí za 350 $. Malware se stále aktivně prodává online a kdokoli si ho může koupit. Předpokládá se, že tvůrce Styx Stealer je aktivní na Telegramu, odpovídá na zprávy a vyvíjí další produkt, Styx Crypter, který pomáhá vyhnout se detekci anti-malwaru. V důsledku toho zůstává Styx Stealer významnou hrozbou pro uživatele po celém světě.
Malware se nezaměřuje pouze na Chrome; kompromituje také všechny prohlížeče založené na Chromiu, jako jsou Edge, Opera a Yandex, a také prohlížeče založené na Gecko, jako je Firefox, Tor Browser a SeaMonkey.
Nejnovější verze Styx Stealer zavádí nové funkce pro těžbu kryptoměn. Na rozdíl od svého předchůdce Phemedrone Stealer obsahuje tato verze funkci ořezávání kryptoměn, která funguje autonomně bez potřeby serveru Command-and-Control (C2). Zároveň je malware nainstalován na počítači oběti.
Díky těmto vylepšením je malware efektivnější při tichém krádeži kryptoměny na pozadí. Monitoruje schránku v nepřetržité smyčce, obvykle ve dvou milisekundových intervalech. Při změně obsahu schránky se aktivuje funkce crypto-clipper, která nahradí původní adresu peněženky adresou útočníka. Krypto-clipper dokáže rozpoznat 9 různých vzorů regulárních výrazů pro adresy peněženek napříč různými blockchainy, včetně BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH a DASH.
Aby byl zajištěn jeho provoz, používá Styx Stealer další ochranu, když je povolen krypto-clipper. Patří mezi ně techniky proti ladění a antianalýze, přičemž kontroly se provádějí pouze jednou při spuštění zloděje. Malware obsahuje podrobný seznam procesů spojených s nástroji pro ladění a analýzu a v případě zjištění je ukončí.
Vyšetřovatelé také identifikovali cílená odvětví a regiony, kde byly shromážděny přihlašovací údaje, telegramové chaty, prodej malwaru a kontaktní informace. Útoky byly vysledovány na místech v Turecku, Španělsku a Nigérii – ta druhá byla základnou Fucosrealu. Zůstává však nejasné, která místa jsou přímo spojena s aktérem hrozby, i když byly sledovány některé online identity.
Odborníci na informační bezpečnost zdůrazňují, že je důležité udržovat systémy Windows v aktuálním stavu, zejména pro ty, kteří drží nebo obchodují s kryptoměnami na svých počítačích. Tento nový malware se obvykle šíří prostřednictvím příloh e-mailů a zpráv a nebezpečných odkazů, takže uživatelé počítačů by měli zůstat ostražití a vyhýbat se klikání na podezřelý obsah.