Styx Stealer
Kibernetinio saugumo tyrinėtojai pranešė apie naujai atrastą, labai galingą žinomo grėsmės veikėjo ataką. Ši kenkėjiška programa, skirta Windows naudotojams, skirta pavogti daugybę duomenų, įskaitant naršyklės slapukus, saugos kredencialus ir momentinius pranešimus. Nors pagrindinė kenkėjiška programa buvo matyta anksčiau, ši naujausia versija buvo atnaujinta, kad būtų efektyviau nusausintos kriptovaliutų piniginės.
Kenkėjiška programa yra patobulinta „Phemedrone Stealer“ versija, kuri sulaukė dėmesio anksčiau šiais metais. Jis išnaudoja Microsoft Windows Defender pažeidžiamumą, leidžiantį paleisti scenarijus paveiktuose kompiuteriuose nesuaktyvinant saugos įspėjimų.
Pranešama, kad naujasis variantas, pavadintas Styx Stealer, yra susijęs su Fucosreal grėsmės veikėju, kuris yra susijęs su agentu Tesla – Windows nuotolinės prieigos Trojos arkliu (RAT), dažnai parduodamu kaip kenkėjiška paslauga (MaaS). Kai kompiuteris yra užkrėstas, gali būti įdiegta daugiau kenksmingos programinės įrangos, kuri gali sukelti išpirkos reikalaujančių programų atakas.
„Styx Stealer“ galima išsinuomoti už 75 USD per mėnesį, o licencija visam gyvenimui kainuoja 350 USD. Kenkėjiška programinė įranga vis dar aktyviai parduodama internete, ir kiekvienas gali ją įsigyti. Manoma, kad „Styx Stealer“ kūrėjas aktyviai naudojasi „Telegram“, atsakydamas į pranešimus ir kurdamas kitą produktą „Styx Crypter“, kuris padeda išvengti kenkėjiškų programų aptikimo. Dėl to Styx Stealer išlieka didelė grėsmė vartotojams visame pasaulyje.
Kenkėjiška programa taikoma ne tik „Chrome“; tai taip pat pažeidžia visas „Chromium“ pagrįstas naršykles, tokias kaip „Edge“, „Opera“ ir „Yandex“, taip pat „Gecko“ pagrindu veikiančias naršykles, tokias kaip „Firefox“, „Tor Browser“ ir „SeaMonkey“.
Naujausioje Styx Stealer versijoje pristatomos naujos kriptovaliutos rinkimo funkcijos. Skirtingai nuo savo pirmtako „Phemedrone Stealer“, šioje versijoje yra šifravimo iškarpymo funkcija, kuri veikia savarankiškai, nereikalaujant komandų ir valdymo (C2) serverio. Tuo pačiu metu kenkėjiška programa įdiegiama aukos kompiuteryje.
Šie patobulinimai padaro kenkėjišką programą veiksmingesnę tyliai pavogti kriptovaliutą fone. Ji stebi mainų sritį nuolatine kilpa, paprastai dviejų milisekundžių intervalais. Pasikeitus iškarpinės turiniui, suaktyvinama šifravimo kirpimo funkcija, pakeičianti pradinį piniginės adresą užpuoliko adresu. Kripto kirpimo mašinėlė gali atpažinti 9 skirtingus piniginės adresų regex modelius įvairiose blokų grandinėse, įskaitant BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH ir DASH.
Kad apsaugotų savo veikimą, „Styx Stealer“ naudoja papildomas apsaugos priemones, kai įjungtas šifravimo kirptuvas. Tai apima antibugging ir anti-analizės metodus, kai patikrinimai atliekami tik vieną kartą, kai paleidžiamas vagystė. Kenkėjiška programinė įranga apima išsamų procesų, susijusių su derinimo ir analizės įrankiais, sąrašą ir nutraukia juos, jei aptinkama.
Tyrėjai taip pat nustatė tikslines pramonės šakas ir regionus, kuriuose buvo renkami kredencialai, telegramos pokalbiai, kenkėjiškų programų pardavimas ir kontaktinė informacija. Išpuoliai buvo atsekti Turkijoje, Ispanijoje ir Nigerijoje – pastaroji buvo Fukosrealio bazė. Tačiau lieka neaišku, kurios vietos yra tiesiogiai susijusios su grėsmės veikėju, nors kai kurios internetinės tapatybės buvo atsektos.
Informacijos saugumo ekspertai pabrėžia, kad svarbu nuolat atnaujinti „Windows“ sistemas, ypač tiems, kurie savo kompiuteriuose laiko kriptovaliutą arba ja prekiauja. Ši nauja kenkėjiška programa paprastai plinta per el. laiškų ir pranešimų priedus bei nesaugias nuorodas, todėl kompiuterių vartotojai turėtų išlikti budrūs ir vengti spustelėti įtartiną turinį.