អ្នកលួច Styx
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរាយការណ៍អំពីការវាយប្រហារដ៏ខ្លាំងក្លាដែលទើបរកឃើញថ្មីពីអ្នកគំរាមកំហែងដែលគេស្គាល់។ មេរោគនេះដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Windows ត្រូវបានរចនាឡើងដើម្បីលួចទិន្នន័យជាច្រើន រួមទាំងខូគីកម្មវិធីរុករក អត្តសញ្ញាណសុវត្ថិភាព និងសារបន្ទាន់។ ខណៈពេលដែលមេរោគស្នូលត្រូវបានគេមើលឃើញពីមុនមក កំណែចុងក្រោយបំផុតនេះត្រូវបានធ្វើឱ្យប្រសើរឡើងដើម្បីបង្ហូរកាបូបលុយគ្រីបតូកាន់តែមានប្រសិទ្ធភាព។
មេរោគនេះគឺជាកំណែវិវត្តនៃ Phemedrone Stealer ដែលទទួលបានការចាប់អារម្មណ៍កាលពីដើមឆ្នាំនេះ។ វាទាញយកភាពងាយរងគ្រោះនៅក្នុង Microsoft Windows Defender ដែលអនុញ្ញាតឱ្យវាដំណើរការស្គ្រីបនៅលើកុំព្យូទ័រដែលរងផលប៉ះពាល់ដោយមិនចាំបាច់បង្កការជូនដំណឹងសុវត្ថិភាព។
វ៉ារ្យ៉ង់ថ្មីដែលត្រូវបានគេហៅថា Styx Stealer ត្រូវបានគេរាយការណ៍ថាមានទំនាក់ទំនងជាមួយតួអង្គគំរាមកំហែង Fucosreal ដែលត្រូវបានផ្សារភ្ជាប់ជាមួយនឹង ភ្នាក់ងារ Tesla ដែលជា Windows Remote Access Trojan (RAT) ជារឿយៗត្រូវបានលក់ជា Malware-as-a-Service (MaaS) ។ នៅពេលដែលកុំព្យូទ័រមួយត្រូវបានឆ្លងមេរោគនោះ កម្មវិធីដែលបង្កគ្រោះថ្នាក់កាន់តែច្រើនអាចត្រូវបានដំឡើង ដែលអាចនាំឱ្យមានការវាយប្រហារ ransomware ។
Styx Stealer មានសម្រាប់ជួលក្នុងតម្លៃ 75 ដុល្លារក្នុងមួយខែ ជាមួយនឹងអាជ្ញាប័ណ្ណពេញមួយជីវិតតម្លៃ 350 ដុល្លារ។ មេរោគនៅតែត្រូវបានលក់យ៉ាងសកម្មនៅលើអ៊ីនធឺណិត ហើយអ្នកណាក៏អាចទិញវាបានដែរ។ អ្នកបង្កើត Styx Stealer ត្រូវបានគេជឿថាសកម្មនៅលើ Telegram ដោយឆ្លើយតបទៅនឹងសារ និងបង្កើតផលិតផលមួយផ្សេងទៀតគឺ Styx Crypter ដែលជួយជៀសវាងការរកឃើញប្រឆាំងនឹងមេរោគ។ ជាលទ្ធផល Styx Stealer នៅតែជាការគំរាមកំហែងយ៉ាងសំខាន់ចំពោះអ្នកប្រើប្រាស់ទូទាំងពិភពលោក។
មេរោគមិនគ្រាន់តែកំណត់គោលដៅរបស់ Chrome ប៉ុណ្ណោះទេ។ វាក៏សម្របសម្រួលកម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Chromium ទាំងអស់ដូចជា Edge, Opera និង Yandex ក៏ដូចជាកម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Gecko ដូចជា Firefox, Tor Browser និង SeaMonkey ផងដែរ។
កំណែចុងក្រោយបំផុតរបស់ Styx Stealer ណែនាំលក្ខណៈពិសេសថ្មីសម្រាប់ការប្រមូលផលរូបិយប័ណ្ណគ្រីបតូ។ មិនដូចអ្នកកាន់តំណែងមុនរបស់វា Phemedrone Stealer កំណែនេះរួមបញ្ចូលមុខងារ crypto-clipping ដែលដំណើរការដោយស្វ័យភាពដោយមិនត្រូវការម៉ាស៊ីនមេ Command-and-Control (C2) ។ ក្នុងពេលជាមួយគ្នានោះមេរោគត្រូវបានដំឡើងនៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ។
ភាពប្រសើរឡើងទាំងនេះធ្វើឱ្យមេរោគកាន់តែមានប្រសិទ្ធភាពក្នុងការលួចគ្រីបគ្រីបសម្ងាត់ដោយស្ងៀមស្ងាត់នៅផ្ទៃខាងក្រោយ។ វាត្រួតពិនិត្យក្តារតម្បៀតខ្ទាស់ក្នុងរង្វិលជុំបន្ត ជាធម្មតានៅចន្លោះពេលពីរមិល្លីវិនាទី។ នៅពេលដែលមាតិកាក្ដារតម្បៀតខ្ទាស់ផ្លាស់ប្តូរ មុខងារ crypto-clipper ដំណើរការ ដោយជំនួសអាសយដ្ឋានកាបូបដើមជាមួយនឹងអាសយដ្ឋានរបស់អ្នកវាយប្រហារ។ Crypto-clipper អាចស្គាល់លំនាំ regex ចំនួន 9 ផ្សេងគ្នាសម្រាប់អាសយដ្ឋានកាបូបនៅទូទាំង blockchains ផ្សេងៗ រួមទាំង BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH និង DASH ។
ដើម្បីការពារប្រតិបត្តិការរបស់វា Styx Stealer ប្រើការការពារបន្ថែម នៅពេលដែល crypto-clipper ត្រូវបានបើក។ ទាំងនេះរាប់បញ្ចូលទាំងបច្ចេកទេសប្រឆាំងការបំបាត់កំហុស និងប្រឆាំងការវិភាគ ដោយការត្រួតពិនិត្យត្រូវបានអនុវត្តតែម្តងគត់នៅពេលអ្នកលួចត្រូវបានបើកដំណើរការ។ មេរោគរួមមានបញ្ជីលម្អិតនៃដំណើរការដែលទាក់ទងនឹងការបំបាត់កំហុស និងឧបករណ៍វិភាគ ហើយបិទពួកវាប្រសិនបើរកឃើញ។
អ្នកស៊ើបអង្កេតក៏បានកំណត់អត្តសញ្ញាណឧស្សាហកម្មគោលដៅ និងតំបន់ដែលព័ត៌មានសម្ងាត់ ការជជែកតាម Telegram ការលក់មេរោគ និងព័ត៌មានទំនាក់ទំនងត្រូវបានប្រមូលផល។ ការវាយប្រហារត្រូវបានគេតាមដានទៅកាន់ទីតាំងក្នុងប្រទេសតួកគី អេស្ប៉ាញ និងនីហ្សេរីយ៉ា ដែលជាមូលដ្ឋានរបស់ Fucosreal។ ទោះបីជាយ៉ាងណាក៏ដោយ វានៅតែមិនទាន់ច្បាស់ថាតើទីតាំងណាដែលត្រូវបានភ្ជាប់ដោយផ្ទាល់ទៅនឹងអ្នកគំរាមកំហែងនោះ ទោះបីជាអត្តសញ្ញាណមួយចំនួននៅលើអ៊ីនធឺណិតត្រូវបានតាមដានក៏ដោយ។
អ្នកជំនាញផ្នែកសន្តិសុខព័ត៌មានសង្កត់ធ្ងន់លើសារៈសំខាន់នៃការរក្សាប្រព័ន្ធ Windows ឱ្យទាន់សម័យ ជាពិសេសសម្រាប់អ្នកដែលកាន់ ឬជួញដូររូបិយប័ណ្ណគ្រីបតូនៅលើកុំព្យូទ័ររបស់ពួកគេ។ មេរោគថ្មីនេះជាធម្មតាត្រូវបានរីករាលដាលតាមរយៈឯកសារភ្ជាប់នៅក្នុងអ៊ីមែល និងសារ និងតំណភ្ជាប់ដែលមិនមានសុវត្ថិភាព ដូច្នេះអ្នកប្រើប្រាស់កុំព្យូទ័រគួរតែប្រុងប្រយ័ត្ន និងជៀសវាងការចុចលើមាតិកាគួរឱ្យសង្ស័យ។