Styx Stealer
Os pesquisadores de segurança cibernética relataram um ataque recém-descoberto e altamente potente de um conhecido agente de ameaça. Este malware, que tem como alvo usuários do Windows, é projetado para roubar uma ampla gama de dados, incluindo cookies do navegador, credenciais de segurança e mensagens instantâneas. Embora o malware principal já tenha sido visto antes, esta versão mais recente foi atualizada para drenar carteiras de criptomoedas de forma mais eficaz.
O malware é uma versão evoluída do Phemedrone Stealer, que ganhou atenção no começo deste ano. Ele explora uma vulnerabilidade no Microsoft Windows Defender, permitindo que ele execute scripts em PCs afetados sem disparar alertas de segurança.
A nova variante, apelidada de Styx Stealer, está supostamente ligada ao ator de ameaça Fucosreal, que está associado ao Agent Tesla — um Trojan de acesso remoto do Windows (RAT) frequentemente vendido como Malware-as-a-Service (MaaS). Uma vez que um PC é infectado, mais softwares prejudiciais podem ser instalados, potencialmente levando a ataques de ransomware.
O Styx Stealer está disponível para aluguel por US$75 por mês, com uma licença vitalícia custando US$350. O malware ainda está sendo vendido ativamente online, e qualquer um pode comprá-lo. Acredita-se que o criador do Styx Stealer esteja ativo no Telegram, respondendo a mensagens e desenvolvendo outro produto, o Styx Crypter, que ajuda a escapar da detecção antimalware. Como resultado, o Styx Stealer continua sendo uma ameaça significativa para usuários em todo o mundo.
O malware não tem como alvo apenas o Chrome; ele também compromete todos os navegadores baseados em Chromium, como Edge, Opera e Yandex, bem como navegadores baseados em Gecko, como Firefox, Tor Browser e SeaMonkey.
A versão mais recente do Styx Stealer introduz novos recursos para coleta de criptomoedas. Diferentemente de seu antecessor, Phemedrone Stealer, esta versão inclui uma função de crypto-clipping que opera de forma autônoma sem precisar de um servidor Command-and-Control (C2). Ao mesmo tempo, o malware é instalado na máquina da vítima.
Essas melhorias tornam o malware mais eficaz em roubar criptomoedas silenciosamente em segundo plano. Ele monitora a área de transferência em um loop contínuo, normalmente em intervalos de dois milissegundos. Quando o conteúdo da área de transferência muda, a função crypto-clipper é ativada, substituindo o endereço da carteira original pelo endereço do invasor. O crypto-clipper pode reconhecer 9 padrões regex diferentes para endereços de carteira em vários blockchains, incluindo BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH e DASH.
Para proteger sua operação, o Styx Stealer emprega defesas adicionais quando o crypto-clipper está habilitado. Isso inclui técnicas anti-depuração e anti-análise, com verificações realizadas apenas uma vez quando o stealer é iniciado. O malware inclui uma lista detalhada de processos associados a ferramentas de depuração e análise e os encerra se detectados.
Os investigadores também identificaram indústrias e regiões alvos onde credenciais, chats do Telegram, vendas de malware e informações de contato foram coletadas. Os ataques foram rastreados para locais na Turquia, Espanha e Nigéria — sendo esta última a base da Fucosreal. No entanto, ainda não está claro quais locais estão diretamente vinculados ao agente da ameaça, embora algumas identidades online tenham sido rastreadas.
Especialistas em segurança da informação enfatizam a importância de manter os sistemas Windows atualizados, particularmente para aqueles que possuem ou negociam criptomoedas em seus PCs. Esse novo malware é normalmente espalhado por meio de anexos em e-mails e mensagens e links inseguros, então os usuários de PC devem permanecer vigilantes e evitar clicar em conteúdo suspeito.