Styx Stealer
חוקרי אבטחת סייבר דיווחו על התקפה חדשה שהתגלתה וחזקה מאוד מצד שחקן איום ידוע. תוכנה זדונית זו, המכוונת למשתמשי Windows, נועדה לגנוב מגוון רחב של נתונים, כולל קובצי Cookie של דפדפן, אישורי אבטחה והודעות מיידיות. בעוד שהתוכנה הזדונית הליבה נראתה בעבר, הגרסה האחרונה הזו שודרגה לניקוז יעיל יותר של ארנקי מטבעות קריפטוגרפיים.
התוכנה הזדונית היא גרסה מפותחת של ה-Phemedrone Stealer, שזכתה לתשומת לב מוקדם יותר השנה. הוא מנצל פגיעות ב-Microsoft Windows Defender, ומאפשר לו להריץ סקריפטים במחשבים מושפעים מבלי להפעיל התראות אבטחה.
הגרסה החדשה, שזכתה לכינוי Styx Stealer, קשורה לפי הדיווחים לשחקן האיום הפוקוסריאלי, המזוהה עם הסוכן טסלה - טרויאני גישה מרחוק של Windows (RAT) הנמכר לעתים קרובות כ-Malware-as-a-Service (MaaS). ברגע שהמחשב נדבק, ניתן להתקין תוכנות מזיקות יותר, שעלולות להוביל להתקפות של תוכנות כופר.
ה-Styx Stealer זמין להשכרה ב-$75 לחודש, עם רישיון לכל החיים במחיר של 350$. התוכנה הזדונית עדיין נמכרת באופן פעיל באינטרנט, וכל אחד יכול לרכוש אותה. היוצר של Styx Stealer נחשב פעיל בטלגרם, מגיב להודעות ומפתח מוצר אחר, Styx Crypter, שעוזר להתחמק מזיהוי אנטי-תוכנות זדוניות. כתוצאה מכך, Styx Stealer נותר איום משמעותי על משתמשים ברחבי העולם.
התוכנה הזדונית אינה מכוונת רק לכרום; זה גם פוגע בכל הדפדפנים מבוססי Chromium, כגון Edge, Opera ו-Yandex, כמו גם דפדפנים מבוססי Gecko כמו Firefox, Tor Browser ו-SeaMonkey.
הגרסה האחרונה של Styx Stealer מציגה תכונות חדשות לקצירת מטבעות קריפטוגרפיים. בניגוד לקודמתה, Phemedrone Stealer, גרסה זו כוללת פונקציית חיתוך קריפטו הפועלת באופן אוטונומי ללא צורך בשרת Command-and-Control (C2). במקביל, התוכנה הזדונית מותקנת על המחשב של הקורבן.
שיפורים אלה הופכים את התוכנה הזדונית ליעילה יותר בגניבה שקטה של מטבעות קריפטוגרפיים ברקע. הוא מנטר את הלוח בלולאה רציפה, בדרך כלל במרווחים של שתי אלפיות שנייה. כאשר תוכן הלוח משתנה, פונקציית ה-crypto-clipper מופעלת, ומחליפה את כתובת הארנק המקורית בכתובת התוקף. ה-crypto-clipper יכול לזהות 9 דפוסי regex שונים עבור כתובות ארנק ב-blockchains שונות, כולל BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH ו-DASH.
כדי להגן על פעולתו, ה-Styx Stealer משתמש בהגנות נוספות כאשר ה-crypto-clipper מופעל. אלה כוללים טכניקות נגד איתור באגים ואנטי-אנליזה, כאשר בדיקות מבוצעות פעם אחת בלבד כאשר הגנב מופעל. התוכנה הזדונית כוללת רשימה מפורטת של תהליכים הקשורים לכלי איתור באגים וניתוח ומפסיקה אותם אם מתגלים.
החוקרים זיהו גם תעשיות ואזורים ממוקדים שבהם נאספו אישורים, צ'אטים בטלגרם, מכירת תוכנות זדוניות ומידע ליצירת קשר. ההתקפות אותרו למקומות בטורקיה, ספרד וניגריה - האחרונה היא הבסיס של פוקוסריאל. עם זאת, עדיין לא ברור אילו מיקומים מקושרים ישירות לשחקן האיום, אם כי יש מעקב אחר זהויות מקוונות.
מומחי אבטחת מידע מדגישים את החשיבות של שמירת מערכות Windows מעודכנות, במיוחד עבור אלה שמחזיקים או סוחרים במטבעות קריפטוגרפיים במחשבים האישיים שלהם. תוכנה זדונית חדשה זו מופצת בדרך כלל באמצעות קבצים מצורפים בהודעות דוא"ל והודעות וקישורים לא בטוחים, כך שמשתמשי מחשב צריכים להישאר ערניים ולהימנע מלחיצה על תוכן חשוד.