Styx Stealer
Badacze cyberbezpieczeństwa poinformowali o nowo odkrytym, niezwykle silnym ataku znanego aktora zagrożeń. To złośliwe oprogramowanie, którego celem są użytkownicy systemu Windows, zostało zaprojektowane w celu kradzieży szerokiego zakresu danych, w tym plików cookie przeglądarki, danych uwierzytelniających i wiadomości błyskawicznych. Chociaż główne złośliwe oprogramowanie było już wcześniej widziane, ta najnowsza wersja została zaktualizowana, aby skuteczniej opróżniać portfele kryptowalut.
To złośliwe oprogramowanie jest rozwiniętą wersją Phemedrone Stealer, który zyskał rozgłos na początku tego roku. Wykorzystuje lukę w zabezpieczeniach programu Microsoft Windows Defender, co pozwala mu uruchamiać skrypty na zainfekowanych komputerach bez wywoływania alertów bezpieczeństwa.
Nowa odmiana, nazwana Styx Stealer, jest podobno powiązana z aktorem zagrożenia Fucosreal, który jest powiązany z Agent Tesla — trojanem zdalnego dostępu do systemu Windows (RAT), często sprzedawanym jako Malware-as-a-Service (MaaS). Po zainfekowaniu komputera PC może zostać zainstalowane bardziej szkodliwe oprogramowanie, co potencjalnie prowadzi do ataków ransomware.
Styx Stealer jest dostępny do wynajęcia za 75 USD miesięcznie, a dożywotnia licencja kosztuje 350 USD. To złośliwe oprogramowanie jest nadal aktywnie sprzedawane online i każdy może je kupić. Uważa się, że twórca Styx Stealer jest aktywny w Telegramie, odpowiada na wiadomości i rozwija inny produkt, Styx Crypter, który pomaga uniknąć wykrycia przez oprogramowanie antywirusowe. W rezultacie Styx Stealer pozostaje poważnym zagrożeniem dla użytkowników na całym świecie.
Złośliwe oprogramowanie nie atakuje tylko przeglądarki Chrome. Zaraża również wszystkie przeglądarki oparte na Chromium, takie jak Edge, Opera i Yandex, a także przeglądarki oparte na Gecko, takie jak Firefox, Tor Browser i SeaMonkey.
Najnowsza wersja Styx Stealer wprowadza nowe funkcje do zbierania kryptowaluty. W przeciwieństwie do swojego poprzednika, Phemedrone Stealer, ta wersja zawiera funkcję krypto-przycinania, która działa autonomicznie, bez potrzeby serwera Command-and-Control (C2). W tym samym czasie złośliwe oprogramowanie jest instalowane na komputerze ofiary.
Te ulepszenia sprawiają, że złośliwe oprogramowanie jest skuteczniejsze w cichym kradnięciu kryptowaluty w tle. Monitoruje schowek w ciągłej pętli, zazwyczaj w odstępach dwóch milisekund. Gdy zawartość schowka ulega zmianie, funkcja crypto-clippera aktywuje się, zastępując oryginalny adres portfela adresem atakującego. Crypto-clipper może rozpoznawać 9 różnych wzorców wyrażeń regularnych dla adresów portfeli w różnych blockchainach, w tym BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH i DASH.
Aby zabezpieczyć swoje działanie, Styx Stealer stosuje dodatkowe zabezpieczenia, gdy włączony jest krypto-clipper. Obejmują one techniki antydebugowania i antyanalizy, a kontrole są wykonywane tylko raz, gdy stealer jest uruchamiany. Złośliwe oprogramowanie obejmuje szczegółową listę procesów powiązanych z narzędziami do debugowania i analizy i kończy je, jeśli zostaną wykryte.
Śledczy zidentyfikowali również docelowe branże i regiony, w których zbierano dane uwierzytelniające, czaty Telegram, sprzedaż złośliwego oprogramowania i informacje kontaktowe. Ataki wyśledzono do lokalizacji w Turcji, Hiszpanii i Nigerii — ta ostatnia jest bazą Fucosreal. Nadal jednak nie jest jasne, które lokalizacje są bezpośrednio powiązane z aktorem zagrożenia, chociaż śledzono niektóre tożsamości online.
Eksperci ds. bezpieczeństwa informacji podkreślają znaczenie aktualizowania systemów Windows, szczególnie dla tych, którzy przechowują lub handlują kryptowalutą na swoich komputerach. To nowe złośliwe oprogramowanie jest zazwyczaj rozprzestrzeniane za pośrednictwem załączników w wiadomościach e-mail i wiadomościach oraz niebezpiecznych linków, dlatego użytkownicy komputerów powinni zachować czujność i unikać klikania podejrzanych treści.