Styx Stealer
محققان امنیت سایبری در مورد یک حمله جدید کشف شده و بسیار قوی از یک عامل تهدید شناخته شده گزارش داده اند. این بدافزار که کاربران ویندوز را هدف قرار می دهد، برای سرقت طیف گسترده ای از داده ها از جمله کوکی های مرورگر، اعتبارنامه های امنیتی و پیام های فوری طراحی شده است. در حالی که بدافزار اصلی قبلا دیده شده بود، این آخرین نسخه برای تخلیه موثرتر کیف پولهای ارزهای دیجیتال ارتقا یافته است.
این بدافزار نسخه تکامل یافته Phedrone Stealer است که در اوایل امسال مورد توجه قرار گرفت. از یک آسیبپذیری در Microsoft Windows Defender سوء استفاده میکند و به آن اجازه میدهد تا اسکریپتها را روی رایانههای شخصی آسیبدیده بدون ایجاد هشدارهای امنیتی اجرا کند.
نوع جدید که Styx Stealer نام دارد، ظاهراً با عامل تهدید Fucosreal مرتبط است که با عامل تسلا - یک تروجان دسترسی از راه دور ویندوز (RAT) که اغلب به عنوان Malware-as-a-Service (MaaS) فروخته می شود، مرتبط است. هنگامی که رایانه شخصی آلوده می شود، نرم افزارهای مضر بیشتری را می توان نصب کرد که به طور بالقوه منجر به حملات باج افزار می شود.
Styx Stealer با قیمت 75 دلار در ماه با مجوز مادام العمر با قیمت 350 دلار برای اجاره در دسترس است. این بدافزار هنوز به طور فعال به صورت آنلاین فروخته می شود و هر کسی می تواند آن را خریداری کند. اعتقاد بر این است که سازنده Styx Stealer در تلگرام فعال است، به پیامها پاسخ میدهد و محصول دیگری به نام Styx Crypter را توسعه میدهد که به جلوگیری از شناسایی ضد بدافزار کمک میکند. در نتیجه، Styx Stealer همچنان یک تهدید مهم برای کاربران در سراسر جهان است.
بدافزار فقط کروم را هدف قرار نمی دهد. همچنین تمام مرورگرهای مبتنی بر Chromium مانند Edge، Opera و Yandex و همچنین مرورگرهای مبتنی بر Gecko مانند Firefox، Tor Browser و SeaMonkey را در معرض خطر قرار می دهد.
آخرین نسخه Styx Stealer ویژگی های جدیدی را برای برداشت ارزهای دیجیتال معرفی می کند. این نسخه برخلاف نسخه قبلی خود، Phemedrone Stealer، دارای یک عملکرد crypto-clipping است که به طور مستقل و بدون نیاز به سرور Command-and-Control (C2) عمل می کند. در همان زمان، بدافزار بر روی دستگاه قربانی نصب می شود.
این پیشرفتها بدافزار را در سرقت بیصدا ارزهای دیجیتال در پسزمینه مؤثرتر میکنند. کلیپ بورد را در یک حلقه پیوسته، معمولاً در فواصل دو میلی ثانیه ای نظارت می کند. هنگامی که محتوای کلیپ بورد تغییر می کند، عملکرد crypto-clipper فعال می شود و آدرس کیف پول اصلی را با آدرس مهاجم جایگزین می کند. کریپتو گیر می تواند 9 الگوی regex مختلف را برای آدرس های کیف پول در سراسر بلاک چین های مختلف از جمله BTC، ETH، XMR، XLM، XRP، LTC، NEC، BCH و DASH تشخیص دهد.
برای محافظت از عملکرد خود، Styx Stealer هنگامی که Crypto-Clipper فعال است، از دفاع های اضافی استفاده می کند. اینها شامل تکنیکهای ضد اشکال زدایی و ضد تجزیه و تحلیل میشوند که بررسیها فقط یک بار در زمان راهاندازی دزد انجام میشود. این بدافزار شامل فهرست دقیقی از فرآیندهای مرتبط با ابزارهای اشکال زدایی و تجزیه و تحلیل است و در صورت شناسایی آنها را خاتمه می دهد.
بازرسان همچنین صنایع و مناطقی را که اعتبار، چتهای تلگرام، فروش بدافزارها و اطلاعات تماس جمعآوری شده بودند، شناسایی کردند. ردیابی این حملات در مکانهایی در ترکیه، اسپانیا و نیجریه صورت گرفت - که دومی پایگاه Fucosreal است. با این حال، هنوز مشخص نیست که کدام مکانها مستقیماً با عامل تهدید مرتبط هستند، اگرچه برخی از هویتهای آنلاین ردیابی شدهاند.
کارشناسان امنیت اطلاعات بر اهمیت بهروز نگهداشتن سیستمهای ویندوز، بهویژه برای کسانی که ارزهای رمزنگاری شده را روی رایانه شخصی خود دارند یا معامله میکنند، تأکید میکنند. این بدافزار جدید معمولاً از طریق پیوستهای موجود در ایمیلها و پیامها و پیوندهای ناامن پخش میشود، بنابراین کاربران رایانه شخصی باید مراقب باشند و از کلیک کردن بر روی محتوای مشکوک خودداری کنند.