Styx Stealer
Ερευνητές στον τομέα της κυβερνοασφάλειας έχουν αναφέρει σχετικά με μια πρόσφατα ανακαλυφθείσα, εξαιρετικά ισχυρή επίθεση από έναν γνωστό παράγοντα απειλής. Αυτό το κακόβουλο λογισμικό, το οποίο στοχεύει χρήστες των Windows, έχει σχεδιαστεί για να κλέβει ένα ευρύ φάσμα δεδομένων, συμπεριλαμβανομένων των cookies του προγράμματος περιήγησης, των διαπιστευτηρίων ασφαλείας και των άμεσων μηνυμάτων. Ενώ το βασικό κακόβουλο λογισμικό έχει δει στο παρελθόν, αυτή η τελευταία έκδοση έχει αναβαθμιστεί για να αποστραγγίζει πιο αποτελεσματικά τα πορτοφόλια κρυπτονομισμάτων.
Το κακόβουλο λογισμικό είναι μια εξελιγμένη έκδοση του Phemedrone Stealer, το οποίο κέρδισε την προσοχή νωρίτερα φέτος. Εκμεταλλεύεται μια ευπάθεια στο Microsoft Windows Defender, επιτρέποντάς του να εκτελεί σενάρια σε υπολογιστές που επηρεάζονται χωρίς να ενεργοποιεί ειδοποιήσεις ασφαλείας.
Η νέα παραλλαγή, που ονομάστηκε Styx Stealer, φέρεται να συνδέεται με τον παράγοντα απειλών Fucosreal, ο οποίος σχετίζεται με τον Πράκτορα Tesla —ένα Windows Remote Access Trojan (RAT) που πωλείται συχνά ως Malware-as-a-Service (MaaS). Μόλις μολυνθεί ένας υπολογιστής, μπορεί να εγκατασταθεί περισσότερο επιβλαβές λογισμικό, το οποίο μπορεί να οδηγήσει σε επιθέσεις ransomware.
Το Styx Stealer διατίθεται προς ενοικίαση με 75 $ το μήνα, με άδεια ζωής με τιμή 350 $. Το κακόβουλο λογισμικό εξακολουθεί να πωλείται ενεργά στο διαδίκτυο και ο καθένας μπορεί να το αγοράσει. Ο δημιουργός του Styx Stealer πιστεύεται ότι είναι ενεργός στο Telegram, ανταποκρίνεται σε μηνύματα και αναπτύσσει ένα άλλο προϊόν, το Styx Crypter, το οποίο βοηθά στην αποφυγή του εντοπισμού κακόβουλου λογισμικού. Ως αποτέλεσμα, το Styx Stealer παραμένει μια σημαντική απειλή για τους χρήστες παγκοσμίως.
Το κακόβουλο λογισμικό δεν στοχεύει μόνο το Chrome. Επίσης, θέτει σε κίνδυνο όλα τα προγράμματα περιήγησης που βασίζονται στο Chromium, όπως τα Edge, Opera και Yandex, καθώς και προγράμματα περιήγησης που βασίζονται σε Gecko, όπως το Firefox, το Tor Browser και το SeaMonkey.
Η τελευταία έκδοση του Styx Stealer εισάγει νέες δυνατότητες για τη συλλογή κρυπτονομισμάτων. Σε αντίθεση με τον προκάτοχό του, το Phemedrone Stealer, αυτή η έκδοση περιλαμβάνει μια λειτουργία crypto-clipping που λειτουργεί αυτόνομα χωρίς να χρειάζεται διακομιστή Command-and-Control (C2). Ταυτόχρονα, το κακόβουλο λογισμικό εγκαθίσταται στο μηχάνημα του θύματος.
Αυτές οι βελτιώσεις κάνουν το κακόβουλο λογισμικό πιο αποτελεσματικό στην αθόρυβη κλοπή κρυπτονομισμάτων στο παρασκήνιο. Παρακολουθεί το πρόχειρο σε συνεχή βρόχο, συνήθως σε διαστήματα δύο χιλιοστών του δευτερολέπτου. Όταν αλλάζει το περιεχόμενο του προχείρου, ενεργοποιείται η λειτουργία crypto-clipper, αντικαθιστώντας την αρχική διεύθυνση πορτοφολιού με τη διεύθυνση του εισβολέα. Το crypto-clipper μπορεί να αναγνωρίσει 9 διαφορετικά μοτίβα regex για διευθύνσεις πορτοφολιού σε διάφορες αλυσίδες μπλοκ, συμπεριλαμβανομένων των BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH και DASH.
Για να διαφυλάξει τη λειτουργία του, το Styx Stealer χρησιμοποιεί πρόσθετες άμυνες όταν είναι ενεργοποιημένο το crypto-clipper. Αυτές περιλαμβάνουν τεχνικές κατά του εντοπισμού σφαλμάτων και αντι-ανάλυσης, με τους ελέγχους να εκτελούνται μόνο μία φορά κατά την εκκίνηση του κλέφτη. Το κακόβουλο λογισμικό περιλαμβάνει μια λεπτομερή λίστα διαδικασιών που σχετίζονται με εργαλεία εντοπισμού σφαλμάτων και ανάλυσης και τις τερματίζει εάν εντοπιστεί.
Οι ερευνητές εντόπισαν επίσης στοχευμένες βιομηχανίες και περιοχές όπου συγκεντρώθηκαν διαπιστευτήρια, συνομιλίες στο Telegram, πωλήσεις κακόβουλου λογισμικού και στοιχεία επικοινωνίας. Οι επιθέσεις εντοπίστηκαν σε τοποθεσίες στην Τουρκία, την Ισπανία και τη Νιγηρία—η τελευταία είναι η βάση του Fucosreal. Ωστόσο, παραμένει ασαφές ποιες τοποθεσίες συνδέονται άμεσα με τον παράγοντα απειλής, αν και ορισμένες διαδικτυακές ταυτότητες έχουν εντοπιστεί.
Οι ειδικοί σε θέματα ασφάλειας πληροφοριών τονίζουν τη σημασία της διατήρησης των συστημάτων των Windows ενημερωμένα, ιδιαίτερα για όσους κατέχουν ή διαπραγματεύονται κρυπτονομίσματα στους υπολογιστές τους. Αυτό το νέο κακόβουλο λογισμικό διαδίδεται συνήθως μέσω συνημμένων σε email και μηνύματα και μη ασφαλείς συνδέσμους, επομένως οι χρήστες υπολογιστών θα πρέπει να παραμείνουν σε επαγρύπνηση και να αποφεύγουν να κάνουν κλικ σε ύποπτο περιεχόμενο.