Styx Stealer
I ricercatori di sicurezza informatica hanno segnalato un attacco di recente scoperta, molto potente, da parte di un noto autore di minacce. Questo malware, che prende di mira gli utenti Windows, è progettato per rubare un'ampia gamma di dati, tra cui cookie del browser, credenziali di sicurezza e messaggi istantanei. Mentre il malware principale è già stato visto in precedenza, questa ultima versione è stata aggiornata per prosciugare in modo più efficace i portafogli di criptovaluta.
Il malware è una versione evoluta di Phemedrone Stealer, che ha attirato l'attenzione all'inizio di quest'anno. Sfrutta una vulnerabilità in Microsoft Windows Defender, consentendogli di eseguire script sui PC interessati senza attivare avvisi di sicurezza.
La nuova variante, soprannominata Styx Stealer, sarebbe collegata all'attore della minaccia Fucosreal, che è associato ad Agent Tesla , un Trojan di accesso remoto (RAT) di Windows spesso venduto come Malware-as-a-Service (MaaS). Una volta infettato un PC, può essere installato altro software dannoso, potenzialmente causando attacchi ransomware.
Styx Stealer è disponibile per l'affitto a $ 75 al mese, con una licenza a vita al prezzo di $ 350. Il malware è ancora in vendita online e chiunque può acquistarlo. Si ritiene che il creatore di Styx Stealer sia attivo su Telegram, rispondendo ai messaggi e sviluppando un altro prodotto, Styx Crypter, che aiuta a eludere il rilevamento anti-malware. Di conseguenza, Styx Stealer rimane una minaccia significativa per gli utenti in tutto il mondo.
Il malware non prende di mira solo Chrome; compromette anche tutti i browser basati su Chromium, come Edge, Opera e Yandex, nonché i browser basati su Gecko come Firefox, Tor Browser e SeaMonkey.
L'ultima versione di Styx Stealer introduce nuove funzionalità per la raccolta di criptovalute. A differenza del suo predecessore, Phemedrone Stealer, questa versione include una funzione di crypto-clipping che opera in modo autonomo senza bisogno di un server Command-and-Control (C2). Allo stesso tempo, il malware viene installato sul computer della vittima.
Questi miglioramenti rendono il malware più efficace nel furto silenzioso di criptovaluta in background. Monitora gli appunti in un ciclo continuo, in genere a intervalli di due millisecondi. Quando il contenuto degli appunti cambia, la funzione crypto-clipper si attiva, sostituendo l'indirizzo del portafoglio originale con l'indirizzo dell'attaccante. Il crypto-clipper può riconoscere 9 diversi modelli regex per gli indirizzi del portafoglio su varie blockchain, tra cui BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH e DASH.
Per salvaguardare il suo funzionamento, Styx Stealer impiega difese aggiuntive quando il crypto-clipper è abilitato. Queste includono tecniche anti-debug e anti-analisi, con controlli eseguiti solo una volta quando lo stealer viene avviato. Il malware include un elenco dettagliato di processi associati a strumenti di debug e analisi e li termina se rilevati.
Gli investigatori hanno anche identificato settori e regioni mirati in cui sono state raccolte credenziali, chat di Telegram, vendite di malware e informazioni di contatto. Gli attacchi sono stati ricondotti a località in Turchia, Spagna e Nigeria, quest'ultima sede di Fucosreal. Tuttavia, non è ancora chiaro quali località siano direttamente collegate all'autore della minaccia, sebbene siano state tracciate alcune identità online.
Gli esperti di sicurezza informatica sottolineano l'importanza di mantenere aggiornati i sistemi Windows, in particolare per coloro che detengono o scambiano criptovalute sui propri PC. Questo nuovo malware si diffonde solitamente tramite allegati in e-mail e messaggi e link non sicuri, quindi gli utenti di PC dovrebbero rimanere vigili ed evitare di cliccare su contenuti sospetti.