Styx Stealer
A kiberbiztonsági kutatók egy újonnan felfedezett, rendkívül erős támadásról számoltak be, amelyet egy ismert fenyegetés szereplője indított el. Ez a Windows-felhasználókat célzó rosszindulatú program számos adat ellopására szolgál, beleértve a böngésző cookie-kat, biztonsági hitelesítő adatokat és azonnali üzeneteket. Míg az alapvető rosszindulatú programokat korábban is látták, ezt a legújabb verziót frissítették, hogy hatékonyabban ürítse ki a kriptovaluta pénztárcákat.
A rosszindulatú program a Phemedrone Stealer továbbfejlesztett változata, amely az év elején felkeltette a figyelmet. Kiaknázza a Microsoft Windows Defender biztonsági rését, lehetővé téve a szkriptek futtatását az érintett számítógépeken anélkül, hogy biztonsági riasztásokat váltana ki.
A Styx Stealer névre keresztelt új változat a hírek szerint a Fucosreal fenyegető szereplőjéhez kapcsolódik, aki a Tesla ügynökhöz kapcsolódik – egy Windows távelérési trójaihoz (RAT), amelyet gyakran Malware-as-a-Service (MaaS) néven árulnak. Ha egy számítógép megfertőződött, több káros szoftver is telepíthető, ami zsarolóprogram-támadásokhoz vezethet.
A Styx Stealer havi 75 dollárért bérelhető, életre szóló licence pedig 350 dollár. A rosszindulatú programot továbbra is aktívan értékesítik az interneten, és bárki megvásárolhatja. A Styx Stealer alkotója a feltételezések szerint aktív a Telegramon, válaszol az üzenetekre, és egy másik terméket, a Styx Cryptert fejleszti, amely segít elkerülni a rosszindulatú programok észlelését. Ennek eredményeként a Styx Stealer továbbra is jelentős veszélyt jelent a felhasználók számára világszerte.
A rosszindulatú program nem csak a Chrome-ot célozza meg; emellett veszélyezteti az összes Chromium-alapú böngészőt, például az Edge-t, az Opera-t és a Yandexet, valamint a Gecko-alapú böngészőket, mint a Firefox, a Tor Browser és a SeaMonkey.
A Styx Stealer legújabb verziója új funkciókat vezet be a kriptovaluták begyűjtéséhez. Elődjétől, a Phemedrone Stealertől eltérően ez a verzió tartalmaz egy titkosítási kivágás funkciót, amely önállóan működik anélkül, hogy Command-and-Control (C2) szerverre lenne szükség. Ezzel egy időben a kártevő telepítve van az áldozat gépére.
Ezek a fejlesztések hatékonyabbá teszik a kártevőt a háttérben zajló kriptovaluta csendben történő ellopásában. Folyamatos ciklusban figyeli a vágólapot, jellemzően két ezredmásodperces időközönként. Amikor a vágólap tartalma megváltozik, a kriptovágó funkció aktiválódik, és az eredeti pénztárcacímet a támadó címére cseréli. A kriptovágó 9 különböző regex-mintát képes felismerni a pénztárcacímekhez különböző blokkláncokon, köztük a BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH és DASH között.
A működésének védelme érdekében a Styx Stealer további védelmet alkalmaz, ha a kriptovágó engedélyezve van. Ezek közé tartoznak az anti-debugging és anti-analysis technikák, az ellenőrzéseket csak egyszer hajtják végre a lopás elindításakor. A rosszindulatú program részletes listát tartalmaz a hibakereső és elemző eszközökhöz kapcsolódó folyamatokról, és leállítja azokat, ha észlelik.
A nyomozók azonosították azokat a megcélzott iparágakat és régiókat is, ahol a hitelesítési adatokat, a Telegram-csevegéseket, a rosszindulatú programok értékesítését és a kapcsolattartási adatokat gyűjtötték be. A támadásokat Törökországban, Spanyolországban és Nigériában követték el – ez utóbbi a Fucosreal bázisa. Továbbra sem világos azonban, hogy mely helyszínek kapcsolódnak közvetlenül a fenyegetett szereplőhöz, bár néhány online személyazonosságot nyomon követtek.
Az információbiztonsági szakértők hangsúlyozzák a Windows rendszerek naprakészen tartásának fontosságát, különösen azok számára, akik kriptovalutát tartanak vagy kereskednek a számítógépükön. Ez az új rosszindulatú program általában e-mailek és üzenetek mellékletein, valamint nem biztonságos hivatkozásokon keresztül terjed, így a PC-felhasználóknak ébernek kell lenniük, és kerülniük kell a gyanús tartalomra való kattintást.