Styx Stealer
Cybersecurity-onderzoekers hebben melding gemaakt van een onlangs ontdekte, zeer krachtige aanval van een bekende dreigingsactor. Deze malware, die Windows-gebruikers als doelwit heeft, is ontworpen om een breed scala aan gegevens te stelen, waaronder browsercookies, beveiligingsreferenties en instant messages. Hoewel de kernmalware al eerder is gezien, is deze nieuwste versie geüpgraded om cryptocurrency-wallets effectiever leeg te zuigen.
De malware is een geëvolueerde versie van de Phemedrone Stealer, die eerder dit jaar de aandacht trok. Het maakt gebruik van een kwetsbaarheid in Microsoft Windows Defender, waardoor het scripts op getroffen pc's kan uitvoeren zonder beveiligingswaarschuwingen te activeren.
De nieuwe variant, de Styx Stealer, zou gelinkt zijn aan de Fucosreal threat actor, die geassocieerd wordt met Agent Tesla — een Windows Remote Access Trojan (RAT) die vaak verkocht wordt als Malware-as-a-Service (MaaS). Zodra een PC geïnfecteerd is, kan er meer schadelijke software geïnstalleerd worden, wat mogelijk kan leiden tot ransomware-aanvallen.
De Styx Stealer is te huur voor $ 75 per maand, met een levenslange licentie voor $ 350. De malware wordt nog steeds actief online verkocht en iedereen kan het kopen. De maker van de Styx Stealer zou actief zijn op Telegram, waar hij op berichten reageert en een ander product ontwikkelt, Styx Crypter, dat helpt om anti-malwaredetectie te omzeilen. Als gevolg hiervan blijft Styx Stealer een aanzienlijke bedreiging voor gebruikers wereldwijd.
De malware is niet alleen gericht op Chrome; het infecteert ook alle op Chromium gebaseerde browsers, zoals Edge, Opera en Yandex, evenals op Gecko gebaseerde browsers zoals Firefox, Tor Browser en SeaMonkey.
De nieuwste versie van Styx Stealer introduceert nieuwe functies voor het oogsten van cryptocurrency. In tegenstelling tot zijn voorganger, Phemedrone Stealer, bevat deze versie een crypto-clippingfunctie die autonoom werkt zonder dat er een Command-and-Control (C2)-server nodig is. Tegelijkertijd wordt de malware op de machine van het slachtoffer geïnstalleerd.
Deze verbeteringen maken de malware effectiever in het stilletjes stelen van cryptocurrency op de achtergrond. Het controleert het klembord in een continue lus, meestal met tussenpozen van twee milliseconden. Wanneer de inhoud van het klembord verandert, wordt de crypto-clipper-functie geactiveerd, waarbij het oorspronkelijke wallet-adres wordt vervangen door het adres van de aanvaller. De crypto-clipper kan 9 verschillende regex-patronen herkennen voor wallet-adressen in verschillende blockchains, waaronder BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH en DASH.
Om zijn werking te beschermen, gebruikt de Styx Stealer extra verdedigingen wanneer de crypto-clipper is ingeschakeld. Deze omvatten anti-debugging- en anti-analysetechnieken, waarbij controles slechts één keer worden uitgevoerd wanneer de stealer wordt gestart. De malware bevat een gedetailleerde lijst met processen die zijn gekoppeld aan debugging- en analysetools en beëindigt deze als ze worden gedetecteerd.
Onderzoekers identificeerden ook doelindustrieën en regio's waar inloggegevens, Telegram-chats, malwareverkopen en contactgegevens werden verzameld. De aanvallen werden getraceerd naar locaties in Turkije, Spanje en Nigeria, waarbij laatstgenoemde de basis is van Fucosreal. Het blijft echter onduidelijk welke locaties direct aan de dreigingsactor zijn gekoppeld, hoewel sommige online identiteiten zijn gevolgd.
Experts op het gebied van informatiebeveiliging benadrukken het belang van het up-to-date houden van Windows-systemen, met name voor degenen die cryptovaluta op hun pc's hebben of verhandelen. Deze nieuwe malware wordt meestal verspreid via bijlagen in e-mails en berichten en onveilige links, dus pc-gebruikers moeten waakzaam blijven en niet op verdachte content klikken.