Styx Stealer
사이버 보안 연구원들은 알려진 위협 행위자로부터 새롭게 발견된 매우 강력한 공격에 대해 보고했습니다. Windows 사용자를 대상으로 하는 이 맬웨어는 브라우저 쿠키, 보안 자격 증명, 인스턴트 메시지를 포함한 광범위한 데이터를 훔치도록 설계되었습니다. 핵심 맬웨어는 이전에도 발견되었지만, 이 최신 버전은 암호화폐 지갑을 더 효과적으로 비우도록 업그레이드되었습니다.
이 맬웨어는 올해 초 주목을 받았던 Phemedrone Stealer의 진화된 버전입니다. Microsoft Windows Defender의 취약성을 악용하여 보안 경고를 트리거하지 않고도 영향을 받는 PC에서 스크립트를 실행할 수 있습니다.
Styx Stealer라는 새로운 변종은 Agent Tesla 와 관련된 Fucosreal 위협 행위자와 관련이 있는 것으로 알려졌습니다. Agent Tesla는 종종 Malware-as-a-Service(MaaS)로 판매되는 Windows 원격 액세스 트로이 목마(RAT)입니다. PC가 감염되면 더 유해한 소프트웨어가 설치될 수 있으며, 잠재적으로 랜섬웨어 공격으로 이어질 수 있습니다.
Styx Stealer는 월 75달러에 대여할 수 있으며, 평생 라이선스 가격은 350달러입니다. 이 맬웨어는 여전히 온라인에서 활발하게 판매되고 있으며, 누구나 구매할 수 있습니다. Styx Stealer의 제작자는 Telegram에서 활동하며 메시지에 답하고 안티 맬웨어 감지를 회피하는 데 도움이 되는 또 다른 제품인 Styx Crypter를 개발하는 것으로 알려져 있습니다. 그 결과, Styx Stealer는 전 세계 사용자에게 여전히 상당한 위협으로 남아 있습니다.
이 맬웨어는 Chrome만을 표적으로 삼는 것이 아닙니다. Edge, Opera, Yandex와 같은 Chromium 기반 브라우저는 물론 Firefox, Tor Browser, SeaMonkey와 같은 Gecko 기반 브라우저도 모두 손상시킵니다.
Styx Stealer의 최신 버전은 암호화폐를 수확하기 위한 새로운 기능을 도입했습니다. 이전 버전인 Phemedrone Stealer와 달리 이 버전에는 명령 및 제어(C2) 서버가 필요 없이 자율적으로 작동하는 암호 클리핑 기능이 포함되어 있습니다. 동시에 맬웨어는 피해자의 컴퓨터에 설치됩니다.
이러한 강화를 통해 멀웨어는 백그라운드에서 암호화폐를 조용히 훔치는 데 더욱 효과적입니다. 일반적으로 2밀리초 간격으로 클립보드를 연속 루프로 모니터링합니다. 클립보드 내용이 변경되면 크립토 클리퍼 기능이 활성화되어 원래 지갑 주소를 공격자의 주소로 바꿉니다. 크립토 클리퍼는 BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH 및 DASH를 포함한 다양한 블록체인에서 지갑 주소에 대한 9가지 정규식 패턴을 인식할 수 있습니다.
Styx Stealer는 작동을 보호하기 위해 암호화 클리퍼가 활성화될 때 추가 방어 수단을 사용합니다. 여기에는 디버깅 방지 및 분석 방지 기술이 포함되며, 스틸러가 실행될 때 한 번만 검사를 수행합니다. 이 맬웨어에는 디버깅 및 분석 도구와 관련된 프로세스의 자세한 목록이 포함되어 있으며 감지되면 종료합니다.
조사관들은 또한 자격 증명, Telegram 채팅, 맬웨어 판매 및 연락처 정보가 수집된 표적 산업 및 지역을 식별했습니다. 공격은 터키, 스페인 및 나이지리아의 위치로 추적되었으며, 후자는 Fucosreal의 기지입니다. 그러나 일부 온라인 신원은 추적되었지만 어떤 위치가 위협 행위자와 직접 연결되어 있는지는 불분명합니다.
정보 보안 전문가들은 특히 PC에서 암호화폐를 보유하거나 거래하는 사람들에게 Windows 시스템을 최신 상태로 유지하는 것이 중요하다고 강조합니다. 이 새로운 맬웨어는 일반적으로 이메일과 메시지의 첨부 파일과 안전하지 않은 링크를 통해 확산되므로 PC 사용자는 경계하고 의심스러운 콘텐츠를 클릭하지 않아야 합니다.