Styx Stealer
Cybersikkerhedsforskere har rapporteret om et nyligt opdaget, meget potent angreb fra en kendt trusselsaktør. Denne malware, som er rettet mod Windows-brugere, er designet til at stjæle en lang række data, herunder browsercookies, sikkerhedsoplysninger og onlinemeddelelser. Mens den centrale malware er set før, er denne seneste version blevet opgraderet til mere effektivt at dræne cryptocurrency-punge.
Malwaren er en udviklet version af Phemedrone Stealer, som fik opmærksomhed tidligere på året. Den udnytter en sårbarhed i Microsoft Windows Defender, så den kan køre scripts på berørte pc'er uden at udløse sikkerhedsadvarsler.
Den nye variant, kaldet Styx Stealer, er angiveligt knyttet til Fucosreal-trusselsaktøren, som er forbundet med Agent Tesla - en Windows Remote Access Trojan (RAT), der ofte sælges som Malware-as-a-Service (MaaS). Når først en pc er inficeret, kan der installeres mere skadelig software, hvilket potentielt kan føre til ransomware-angreb.
Styx Stealer kan lejes til $75 per måned, med en livstidslicens til en pris på $350. Malwaren sælges stadig aktivt online, og alle kan købe den. Skaberen af Styx Stealer menes at være aktiv på Telegram, reagere på beskeder og udvikle et andet produkt, Styx Crypter, som hjælper med at undgå anti-malware-detektion. Som følge heraf forbliver Styx Stealer en væsentlig trussel mod brugere over hele verden.
Malwaren er ikke kun rettet mod Chrome; det kompromitterer også alle Chromium-baserede browsere, såsom Edge, Opera og Yandex, såvel som Gecko-baserede browsere som Firefox, Tor Browser og SeaMonkey.
Den seneste version af Styx Stealer introducerer nye funktioner til at høste kryptovaluta. I modsætning til sin forgænger, Phemedrone Stealer, inkluderer denne version en kryptoklipningsfunktion, der fungerer autonomt uden behov for en Command-and-Control-server (C2). Samtidig installeres malwaren på ofrets maskine.
Disse forbedringer gør malwaren mere effektiv til lydløst at stjæle kryptovaluta i baggrunden. Den overvåger udklipsholderen i en kontinuerlig sløjfe, typisk med to millisekunders intervaller. Når udklipsholderens indhold ændres, aktiveres crypto-clipper-funktionen og erstatter den originale tegnebogsadresse med angriberens adresse. Kryptoklipperen kan genkende 9 forskellige regex-mønstre for tegnebogsadresser på tværs af forskellige blockchains, herunder BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH og DASH.
For at sikre dens drift anvender Styx Stealer yderligere forsvar, når kryptoklipperen er aktiveret. Disse inkluderer anti-debugging og anti-analyse teknikker, hvor kontroller kun udføres én gang, når stjæleren lanceres. Malwaren inkluderer en detaljeret liste over processer forbundet med fejlfindings- og analyseværktøjer og afslutter dem, hvis de opdages.
Efterforskere identificerede også målrettede industrier og regioner, hvor legitimationsoplysninger, Telegram-chats, malware-salg og kontaktoplysninger blev indsamlet. Angrebene blev sporet til steder i Tyrkiet, Spanien og Nigeria - sidstnævnte er base for Fucosreal. Det er dog stadig uklart, hvilke steder der er direkte forbundet med trusselsaktøren, selvom nogle online-identiteter er blevet sporet.
Informationssikkerhedseksperter understreger vigtigheden af at holde Windows-systemer opdaterede, især for dem, der har eller handler med kryptovaluta på deres pc'er. Denne nye malware spredes typisk gennem vedhæftede filer i e-mails og beskeder og usikre links, så pc-brugere bør forblive på vagt og undgå at klikke på mistænkeligt indhold.