Styx Stealer
Istraživači kibernetičke sigurnosti izvijestili su o novootkrivenom, vrlo snažnom napadu poznatog aktera prijetnje. Ovaj zlonamjerni softver, koji cilja na korisnike Windowsa, dizajniran je za krađu širokog spektra podataka, uključujući kolačiće preglednika, sigurnosne vjerodajnice i izravne poruke. Dok je jezgra zlonamjernog softvera već viđena, ova najnovija verzija je nadograđena za učinkovitije pražnjenje novčanika kriptovalute.
Zlonamjerni softver je razvijena verzija Phemedrone Stealera, koji je privukao pažnju ranije ove godine. Iskorištava ranjivost u Microsoft Windows Defenderu, dopuštajući mu pokretanje skripti na pogođenim računalima bez pokretanja sigurnosnih upozorenja.
Nova varijanta, nazvana Styx Stealer, navodno je povezana s akterom prijetnje Fucosreal, koji je povezan s Agentom Teslom — Windows Remote Access Trojan (RAT) koji se često prodaje kao Malware-as-a-Service (MaaS). Nakon što se računalo zarazi, može se instalirati više štetnog softvera, što može dovesti do napada ransomwarea.
Styx Stealer dostupan je za najam po cijeni od 75 USD mjesečno, s doživotnom licencom po cijeni od 350 USD. Malware se i dalje aktivno prodaje na internetu i svatko ga može kupiti. Vjeruje se da je tvorac Styx Stealera aktivan na Telegramu, odgovara na poruke i razvija još jedan proizvod, Styx Crypter, koji pomaže u izbjegavanju otkrivanja zlonamjernog softvera. Kao rezultat toga, Styx Stealer ostaje značajna prijetnja korisnicima širom svijeta.
Zlonamjerni softver ne cilja samo na Chrome; također ugrožava sve preglednike koji se temelje na Chromiumu, kao što su Edge, Opera i Yandex, kao i preglednike koji se temelje na Gecku kao što su Firefox, Tor Browser i SeaMonkey.
Najnovija verzija Styx Stealera uvodi nove značajke za prikupljanje kriptovaluta. Za razliku od svog prethodnika, Phemedrone Stealer, ova verzija uključuje funkciju kripto izrezivanja koja radi samostalno bez potrebe za Command-and-Control (C2) poslužiteljem. U isto vrijeme, malware se instalira na žrtvin stroj.
Ova poboljšanja čine zlonamjerni softver učinkovitijim u tihoj krađi kriptovalute u pozadini. Nadzire međuspremnik u neprekidnoj petlji, obično u intervalima od dvije milisekunde. Kada se promijeni sadržaj međuspremnika, aktivira se funkcija kripto-klipera, zamjenjujući izvornu adresu novčanika adresom napadača. Kripto-kliper može prepoznati 9 različitih uzoraka regularnih izraza za adrese novčanika u različitim lancima blokova, uključujući BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH i DASH.
Kako bi zaštitio svoj rad, Styx Stealer koristi dodatnu obranu kada je omogućen kripto-kliper. To uključuje tehnike uklanjanja pogrešaka i analize, s provjerama koje se izvode samo jednom kada se pokrene kradljivac. Zlonamjerni softver uključuje detaljan popis procesa povezanih s alatima za uklanjanje pogrešaka i analizu te ih prekida ako se otkrije.
Istražitelji su također identificirali ciljane industrije i regije u kojima su sakupljani vjerodajnice, Telegram chatovi, prodaja zlonamjernog softvera i podaci za kontakt. Napadi su praćeni na lokacijama u Turskoj, Španjolskoj i Nigeriji — potonja je baza Fucosreala. Međutim, ostaje nejasno koje su lokacije izravno povezane s akterom prijetnje, iako su neki internetski identiteti praćeni.
Stručnjaci za informacijsku sigurnost naglašavaju važnost održavanja Windows sustava ažurnim, posebno za one koji drže ili trguju kriptovalutom na svojim osobnim računalima. Ovaj novi zlonamjerni softver obično se širi putem privitaka u e-pošti i porukama te nesigurnim poveznicama, pa bi korisnici računala trebali ostati oprezni i izbjegavati klikanje na sumnjiv sadržaj.