Styx Stealer

محققان امنیت سایبری در مورد یک حمله جدید کشف شده و بسیار قوی از یک عامل تهدید شناخته شده گزارش داده اند. این بدافزار که کاربران ویندوز را هدف قرار می دهد، برای سرقت طیف گسترده ای از داده ها از جمله کوکی های مرورگر، اعتبارنامه های امنیتی و پیام های فوری طراحی شده است. در حالی که بدافزار اصلی قبلا دیده شده بود، این آخرین نسخه برای تخلیه موثرتر کیف پول‌های ارزهای دیجیتال ارتقا یافته است.

این بدافزار نسخه تکامل یافته Phedrone Stealer است که در اوایل امسال مورد توجه قرار گرفت. از یک آسیب‌پذیری در Microsoft Windows Defender سوء استفاده می‌کند و به آن اجازه می‌دهد تا اسکریپت‌ها را روی رایانه‌های شخصی آسیب‌دیده بدون ایجاد هشدارهای امنیتی اجرا کند.

نوع جدید که Styx Stealer نام دارد، ظاهراً با عامل تهدید Fucosreal مرتبط است که با عامل تسلا - یک تروجان دسترسی از راه دور ویندوز (RAT) که اغلب به عنوان Malware-as-a-Service (MaaS) فروخته می شود، مرتبط است. هنگامی که رایانه شخصی آلوده می شود، نرم افزارهای مضر بیشتری را می توان نصب کرد که به طور بالقوه منجر به حملات باج افزار می شود.

Styx Stealer با قیمت 75 دلار در ماه با مجوز مادام العمر با قیمت 350 دلار برای اجاره در دسترس است. این بدافزار هنوز به طور فعال به صورت آنلاین فروخته می شود و هر کسی می تواند آن را خریداری کند. اعتقاد بر این است که سازنده Styx Stealer در تلگرام فعال است، به پیام‌ها پاسخ می‌دهد و محصول دیگری به نام Styx Crypter را توسعه می‌دهد که به جلوگیری از شناسایی ضد بدافزار کمک می‌کند. در نتیجه، Styx Stealer همچنان یک تهدید مهم برای کاربران در سراسر جهان است.

بدافزار فقط کروم را هدف قرار نمی دهد. همچنین تمام مرورگرهای مبتنی بر Chromium مانند Edge، Opera و Yandex و همچنین مرورگرهای مبتنی بر Gecko مانند Firefox، Tor Browser و SeaMonkey را در معرض خطر قرار می دهد.

آخرین نسخه Styx Stealer ویژگی های جدیدی را برای برداشت ارزهای دیجیتال معرفی می کند. این نسخه برخلاف نسخه قبلی خود، Phemedrone Stealer، دارای یک عملکرد crypto-clipping است که به طور مستقل و بدون نیاز به سرور Command-and-Control (C2) عمل می کند. در همان زمان، بدافزار بر روی دستگاه قربانی نصب می شود.

این پیشرفت‌ها بدافزار را در سرقت بی‌صدا ارزهای دیجیتال در پس‌زمینه مؤثرتر می‌کنند. کلیپ بورد را در یک حلقه پیوسته، معمولاً در فواصل دو میلی ثانیه ای نظارت می کند. هنگامی که محتوای کلیپ بورد تغییر می کند، عملکرد crypto-clipper فعال می شود و آدرس کیف پول اصلی را با آدرس مهاجم جایگزین می کند. کریپتو گیر می تواند 9 الگوی regex مختلف را برای آدرس های کیف پول در سراسر بلاک چین های مختلف از جمله BTC، ETH، XMR، XLM، XRP، LTC، NEC، BCH و DASH تشخیص دهد.

برای محافظت از عملکرد خود، Styx Stealer هنگامی که Crypto-Clipper فعال است، از دفاع های اضافی استفاده می کند. اینها شامل تکنیک‌های ضد اشکال زدایی و ضد تجزیه و تحلیل می‌شوند که بررسی‌ها فقط یک بار در زمان راه‌اندازی دزد انجام می‌شود. این بدافزار شامل فهرست دقیقی از فرآیندهای مرتبط با ابزارهای اشکال زدایی و تجزیه و تحلیل است و در صورت شناسایی آنها را خاتمه می دهد.

بازرسان همچنین صنایع و مناطقی را که اعتبار، چت‌های تلگرام، فروش بدافزارها و اطلاعات تماس جمع‌آوری شده بودند، شناسایی کردند. ردیابی این حملات در مکان‌هایی در ترکیه، اسپانیا و نیجریه صورت گرفت - که دومی پایگاه Fucosreal است. با این حال، هنوز مشخص نیست که کدام مکان‌ها مستقیماً با عامل تهدید مرتبط هستند، اگرچه برخی از هویت‌های آنلاین ردیابی شده‌اند.

کارشناسان امنیت اطلاعات بر اهمیت به‌روز نگه‌داشتن سیستم‌های ویندوز، به‌ویژه برای کسانی که ارزهای رمزنگاری شده را روی رایانه شخصی خود دارند یا معامله می‌کنند، تأکید می‌کنند. این بدافزار جدید معمولاً از طریق پیوست‌های موجود در ایمیل‌ها و پیام‌ها و پیوندهای ناامن پخش می‌شود، بنابراین کاربران رایانه شخصی باید مراقب باشند و از کلیک کردن بر روی محتوای مشکوک خودداری کنند.

پرطرفدار

پربیننده ترین

بارگذاری...