Styx Stealer

Penyelidik keselamatan siber telah melaporkan mengenai serangan yang baru ditemui dan sangat kuat daripada aktor ancaman yang dikenali. Malware ini, yang menyasarkan pengguna Windows, direka untuk mencuri pelbagai data, termasuk kuki penyemak imbas, bukti kelayakan keselamatan dan mesej segera. Walaupun perisian hasad teras telah dilihat sebelum ini, versi terbaru ini telah dinaik taraf untuk mengalirkan dompet mata wang kripto dengan lebih berkesan.

Malware adalah versi berkembang Phemedrone Stealer, yang mendapat perhatian awal tahun ini. Ia mengeksploitasi kelemahan dalam Microsoft Windows Defender, membenarkannya menjalankan skrip pada PC yang terjejas tanpa mencetuskan amaran keselamatan.

Varian baharu, yang digelar Styx Stealer, dilaporkan dikaitkan dengan pelakon ancaman Fucosreal, yang dikaitkan dengan Ejen Tesla — Trojan Akses Jauh Windows (RAT) yang sering dijual sebagai Malware-as-a-Service (MaaS). Sebaik sahaja PC dijangkiti, lebih banyak perisian berbahaya boleh dipasang, yang berpotensi membawa kepada serangan ransomware.

Styx Stealer tersedia untuk disewa pada $75 sebulan, dengan lesen seumur hidup berharga $350. Malware masih aktif dijual dalam talian, dan sesiapa sahaja boleh membelinya. Pencipta Styx Stealer dipercayai aktif di Telegram, membalas mesej dan membangunkan produk lain, Styx Crypter, yang membantu mengelakkan pengesanan anti-perisian hasad. Akibatnya, Styx Stealer kekal sebagai ancaman besar kepada pengguna di seluruh dunia.

Perisian hasad bukan sahaja menyasarkan Chrome; ia juga menjejaskan semua penyemak imbas berasaskan Chromium, seperti Edge, Opera dan Yandex, serta penyemak imbas berasaskan Gecko seperti Firefox, Pelayar Tor dan SeaMonkey.

Versi terkini Styx Stealer memperkenalkan ciri baharu untuk menuai mata wang kripto. Tidak seperti pendahulunya, Phemedrone Stealer, versi ini termasuk fungsi pengguratan kripto yang beroperasi secara autonomi tanpa memerlukan pelayan Command-and-Control (C2). Pada masa yang sama, perisian hasad dipasang pada mesin mangsa.

Peningkatan ini menjadikan perisian hasad lebih berkesan untuk mencuri mata wang kripto secara senyap di latar belakang. Ia memantau papan klip dalam gelung berterusan, biasanya pada selang dua milisaat. Apabila kandungan papan keratan berubah, fungsi kripto-clipper diaktifkan, menggantikan alamat dompet asal dengan alamat penyerang. Penggunting kripto boleh mengenali 9 corak regex yang berbeza untuk alamat dompet merentas pelbagai rantaian blok, termasuk BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH dan DASH.

Untuk melindungi operasinya, Styx Stealer menggunakan pertahanan tambahan apabila crypto-clipper didayakan. Ini termasuk teknik anti-debug dan anti-analisis, dengan pemeriksaan dilakukan sekali sahaja apabila pencuri dilancarkan. Perisian hasad termasuk senarai terperinci proses yang dikaitkan dengan alat penyahpepijat dan analisis dan menamatkannya jika dikesan.

Penyiasat juga mengenal pasti industri dan wilayah yang disasarkan di mana bukti kelayakan, sembang Telegram, jualan perisian hasad dan maklumat hubungan telah dituai. Serangan itu dikesan ke lokasi di Turki, Sepanyol dan Nigeria—yang terakhir adalah pangkalan Fucosreal. Walau bagaimanapun, masih tidak jelas lokasi mana yang dikaitkan secara langsung dengan pelakon ancaman itu, walaupun beberapa identiti dalam talian telah dikesan.

Pakar keselamatan maklumat menekankan kepentingan memastikan sistem Windows sentiasa dikemas kini, terutamanya bagi mereka yang memegang atau berdagang mata wang kripto pada PC mereka. Perisian hasad baharu ini biasanya disebarkan melalui lampiran dalam e-mel dan mesej serta pautan yang tidak selamat, jadi pengguna PC harus terus berwaspada dan mengelak daripada mengklik pada kandungan yang mencurigakan.

Trending

Paling banyak dilihat

Memuatkan...