Uhatietokanta Stealers Styx Stealer

Styx Stealer

Kyberturvallisuustutkijat ovat raportoineet äskettäin löydetystä, erittäin voimakkaasta hyökkäyksestä tunnetulta uhkatekijältä. Tämä Windows-käyttäjiin kohdistuva haittaohjelma on suunniteltu varastamaan monenlaista tietoa, mukaan lukien selaimen evästeet, suojaustiedot ja pikaviestit. Vaikka ydinhaittaohjelma on nähty ennenkin, tämä uusin versio on päivitetty tehokkaammin tyhjentämään kryptovaluuttalompakoita.

Haittaohjelma on kehitetty versio Phemedrone Stealeristä, joka sai huomiota aiemmin tänä vuonna. Se hyödyntää Microsoft Windows Defenderin haavoittuvuutta, jolloin se voi suorittaa komentosarjoja tietokoneissa, joita asia koskee, käynnistämättä suojaushälytyksiä.

Uusi versio, jota kutsutaan nimellä Styx Stealer, liittyy tiettävästi Fucosrealin uhkatekijään, joka liittyy agentti Teslaan - Windowsin etäkäyttötroijalaiseen (RAT), jota usein myydään nimellä Malware-as-a-Service (MaaS). Kun tietokone on saanut tartunnan, siihen voidaan asentaa enemmän haitallisia ohjelmistoja, jotka voivat johtaa kiristysohjelmien hyökkäyksiin.

Styx Stealer on vuokrattavissa hintaan 75 dollaria kuukaudessa ja elinikäisen lisenssin hintaan 350 dollaria. Haittaohjelmia myydään edelleen aktiivisesti verkossa, ja kuka tahansa voi ostaa sen. Styx Stealerin luojan uskotaan olevan aktiivinen Telegramissa, vastaten viesteihin ja kehittävän toista tuotetta, Styx Crypteriä, joka auttaa välttämään haittaohjelmien torjuntaa. Tämän seurauksena Styx Stealer on edelleen merkittävä uhka käyttäjille maailmanlaajuisesti.

Haittaohjelma ei kohdistu vain Chromeen; se vaarantaa myös kaikki Chromium-pohjaiset selaimet, kuten Edge, Opera ja Yandex, sekä Gecko-pohjaiset selaimet, kuten Firefox, Tor Browser ja SeaMonkey.

Styx Stealerin uusin versio sisältää uusia ominaisuuksia kryptovaluuttojen keräämiseen. Toisin kuin edeltäjänsä, Phemedrone Stealer, tämä versio sisältää krypto-leikkaustoiminnon, joka toimii itsenäisesti ilman Command-and-Control (C2) -palvelinta. Samalla haittaohjelma asennetaan uhrin koneelle.

Nämä parannukset tekevät haittaohjelmista tehokkaampia varastamaan kryptovaluuttoja taustalla. Se tarkkailee leikepöytää jatkuvassa silmukassa, tyypillisesti kahden millisekunnin välein. Kun leikepöydän sisältö muuttuu, salausleikkuritoiminto aktivoituu ja korvaa alkuperäisen lompakon osoitteen hyökkääjän osoitteella. Salausleikkuri pystyy tunnistamaan 9 erilaista regex-mallia lompakon osoitteille eri lohkoketjuissa, mukaan lukien BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH ja DASH.

Toimintansa turvaamiseksi Styx Stealer käyttää lisäsuojauksia, kun krypto-leikkuri on käytössä. Näitä ovat virheenkorjauksen ja analyysin estotekniikat, joissa tarkastukset suoritetaan vain kerran, kun varastaja käynnistetään. Haittaohjelma sisältää yksityiskohtaisen luettelon virheenkorjaus- ja analyysityökaluihin liittyvistä prosesseista ja lopettaa ne havaitessaan.

Tutkijat tunnistivat myös kohdistettuja toimialoja ja alueita, joilta kerättiin tunnistetietoja, Telegram-keskusteluja, haittaohjelmien myyntiä ja yhteystietoja. Hyökkäykset jäljitettiin Turkissa, Espanjassa ja Nigeriassa, joista jälkimmäinen oli Fucosrealin tukikohta. On kuitenkin edelleen epäselvää, mitkä paikat liittyvät suoraan uhkatekijään, vaikka joitain online-identiteettejä onkin jäljitetty.

Tietoturvaasiantuntijat korostavat Windows-järjestelmien ajan tasalla pitämisen tärkeyttä erityisesti niille, jotka omistavat tai käyvät kauppaa kryptovaluutoilla tietokoneissaan. Tämä uusi haittaohjelma leviää tyypillisesti sähköpostien ja viestien liitteiden ja vaarallisten linkkien kautta, joten PC-käyttäjien tulee pysyä valppaina ja välttää epäilyttävän sisällön napsauttamista.

Trendaavat

Eniten katsottu

Ladataan...