Styx Stealer
Küberjulgeolekuteadlased on teatanud äsja avastatud, väga tugevast rünnakust tuntud ohus osaleja poolt. See Windowsi kasutajatele suunatud pahavara on loodud suure hulga andmete, sealhulgas brauseri küpsisefailide, turbemandaatide ja kiirsõnumite varastamiseks. Kuigi põhilist pahavara on varem nähtud, on seda viimast versiooni uuendatud, et tõhusamalt tühjendada krüptoraha rahakotte.
Pahavara on Phemedrone Stealeri edasiarendatud versioon, mis pälvis tähelepanu selle aasta alguses. See kasutab Microsoft Windows Defenderi haavatavust, võimaldades sellel käitada mõjutatud arvutites skripte ilma turvahoiatusi käivitamata.
Uus variant, mille nimi on Styx Stealer, on väidetavalt seotud Fucosreali ohunäitlejaga, kes on seotud agent Teslaga - Windowsi kaugjuurdepääsu troojalasega (RAT), mida sageli müüakse kui pahavara teenusena (MaaS). Kui arvuti on nakatunud, saab installida rohkem kahjulikku tarkvara, mis võib põhjustada lunavararünnakuid.
Styx Stealeri saab rentida hinnaga 75 dollarit kuus ja eluaegse litsentsi hinnaga 350 dollarit. Pahavara müüakse endiselt aktiivselt Internetis ja igaüks saab seda osta. Arvatakse, et Styx Stealeri looja on Telegramis aktiivne, vastab sõnumitele ja arendab teist toodet, Styx Crypterit, mis aitab vältida pahavaratõrje tuvastamist. Selle tulemusena on Styx Stealer endiselt oluline oht kasutajatele kogu maailmas.
Pahavara ei sihi ainult Chrome'i; see ohustab ka kõiki Chromiumi-põhiseid brausereid, nagu Edge, Opera ja Yandex, aga ka Gecko-põhiseid brausereid, nagu Firefox, Tor Browser ja SeaMonkey.
Styx Stealeri uusim versioon tutvustab uusi funktsioone krüptoraha kogumiseks. Erinevalt oma eelkäijast Phemedrone Stealer sisaldab see versioon krüptolõikamise funktsiooni, mis töötab iseseisvalt, ilma et oleks vaja Command-and-Control (C2) serverit. Samal ajal installitakse pahavara ohvri masinasse.
Need täiustused muudavad pahavara taustal vaikselt krüptovaluutat varastamaks tõhusamaks. See jälgib lõikepuhvrit pideva tsüklina, tavaliselt kahe millisekundilise intervalliga. Kui lõikepuhvri sisu muutub, aktiveerub krüptolõikuri funktsioon, mis asendab algse rahakoti aadressi ründaja aadressiga. Krüptolõikur suudab tuvastada 9 erinevat regex-mustrit rahakoti aadresside jaoks erinevates plokiahelates, sealhulgas BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH ja DASH.
Oma töö tagamiseks kasutab Styx Stealer täiendavaid kaitsemehhanisme, kui krüptolõikur on lubatud. Nende hulka kuuluvad silumis- ja analüüsivastased tehnikad, mille puhul kontrollitakse varguse käivitamisel ainult üks kord. Pahavara sisaldab üksikasjalikku loendit silumis- ja analüüsitööriistadega seotud protsessidest ning lõpetab need tuvastamise korral.
Uurijad tuvastasid ka sihitud tööstusharud ja piirkonnad, kus koguti mandaate, Telegrami vestlusi, pahavara müüki ja kontaktteavet. Rünnakud leiti asukohtades Türgis, Hispaanias ja Nigeerias – viimane on Fucosreali baas. Siiski jääb ebaselgeks, millised asukohad on ohutegijaga otseselt seotud, kuigi mõningaid võrguidentiteete on jälgitud.
Infoturbeeksperdid rõhutavad Windowsi süsteemide ajakohasena hoidmise tähtsust, eriti nende jaoks, kes oma arvutites krüptovaluutat hoiavad või nendega kauplevad. See uus pahavara levib tavaliselt meilide ja sõnumite manuste ning ebaturvaliste linkide kaudu, nii et arvutikasutajad peaksid olema valvsad ja vältima kahtlase sisu klõpsamist.