Trusseldatabase Stealers Styx Stealer

Styx Stealer

Cybersikkerhetsforskere har rapportert om et nylig oppdaget, svært potent angrep fra en kjent trusselaktør. Denne skadelige programvaren, som retter seg mot Windows-brukere, er designet for å stjele et bredt spekter av data, inkludert nettleserinformasjonskapsler, sikkerhetslegitimasjon og direktemeldinger. Mens kjernen av skadelig programvare har blitt sett før, har denne siste versjonen blitt oppgradert for mer effektivt å tømme kryptovaluta-lommebøker.

Skadevaren er en utviklet versjon av Phemedrone Stealer, som fikk oppmerksomhet tidligere i år. Den utnytter en sårbarhet i Microsoft Windows Defender, og lar den kjøre skript på berørte PC-er uten å utløse sikkerhetsvarsler.

Den nye varianten, kalt Styx Stealer, er angivelig knyttet til Fucosreal-trusselaktøren, som er assosiert med Agent Tesla - en Windows Remote Access Trojan (RAT) som ofte selges som Malware-as-a-Service (MaaS). Når en PC er infisert, kan mer skadelig programvare installeres, noe som potensielt kan føre til løsepenge-angrep.

Styx Stealer er tilgjengelig for leie for $75 per måned, med en livstidslisens priset til $350. Skadevaren selges fortsatt aktivt på nettet, og alle kan kjøpe den. Skaperen av Styx Stealer antas å være aktiv på Telegram, svare på meldinger og utvikle et annet produkt, Styx Crypter, som hjelper til med å unngå anti-malware-deteksjon. Som et resultat er Styx Stealer fortsatt en betydelig trussel mot brukere over hele verden.

Skadevaren retter seg ikke bare mot Chrome; det kompromitterer også alle Chromium-baserte nettlesere, som Edge, Opera og Yandex, samt Gecko-baserte nettlesere som Firefox, Tor Browser og SeaMonkey.

Den siste versjonen av Styx Stealer introduserer nye funksjoner for å høste kryptovaluta. I motsetning til forgjengeren, Phemedrone Stealer, inkluderer denne versjonen en kryptoklippingsfunksjon som opererer autonomt uten behov for en Command-and-Control (C2) server. Samtidig installeres skadevaren på offerets maskin.

Disse forbedringene gjør skadelig programvare mer effektiv til å stjele kryptovaluta i bakgrunnen. Den overvåker utklippstavlen i en kontinuerlig sløyfe, vanligvis med to millisekunders intervaller. Når innholdet på utklippstavlen endres, aktiveres kryptoklipperfunksjonen, og erstatter den opprinnelige lommebokadressen med angriperens adresse. Kryptoklipperen kan gjenkjenne 9 forskjellige regex-mønstre for lommebokadresser på tvers av forskjellige blokkkjeder, inkludert BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH og DASH.

For å sikre driften bruker Styx Stealer ytterligere forsvar når kryptoklipperen er aktivert. Disse inkluderer anti-debugging og anti-analyse teknikker, med kontroller utført kun én gang når stjeleren er lansert. Skadevaren inkluderer en detaljert liste over prosesser knyttet til feilsøkings- og analyseverktøy og avslutter dem hvis de oppdages.

Etterforskere identifiserte også målrettede bransjer og regioner der legitimasjon, Telegram-chatter, salg av skadelig programvare og kontaktinformasjon ble samlet inn. Angrepene ble sporet til steder i Tyrkia, Spania og Nigeria - sistnevnte er base for Fucosreal. Det er imidlertid fortsatt uklart hvilke steder som er direkte knyttet til trusselaktøren, selv om noen online identiteter har blitt sporet.

Informasjonssikkerhetseksperter understreker viktigheten av å holde Windows-systemer oppdatert, spesielt for de som har eller handler med kryptovaluta på PC-ene sine. Denne nye skadelige programvaren spres vanligvis gjennom vedlegg i e-poster og meldinger og usikre lenker, så PC-brukere bør være på vakt og unngå å klikke på mistenkelig innhold.

Trender

Mest sett

Laster inn...