Styx Stealer
Cercetătorii în domeniul securității cibernetice au raportat despre un atac nou descoperit, foarte puternic, de la un actor cunoscut de amenințări. Acest malware, care vizează utilizatorii Windows, este conceput pentru a fura o gamă largă de date, inclusiv cookie-uri de browser, acreditări de securitate și mesaje instantanee. În timp ce programul malware de bază a fost văzut înainte, această ultimă versiune a fost actualizată pentru a drena mai eficient portofelele criptomonede.
Malware-ul este o versiune evoluată a Phhemedrone Stealer, care a atras atenția la începutul acestui an. Acesta exploatează o vulnerabilitate din Microsoft Windows Defender, permițându-i să ruleze scripturi pe computerele afectate fără a declanșa alerte de securitate.
Noua variantă, numită Styx Stealer, este legată de actorul amenințării Fucosreal, care este asociat cu Agentul Tesla — un troian Windows Remote Access (RAT) vândut adesea ca Malware-as-a-Service (MaaS). Odată ce un computer este infectat, se poate instala software mai dăunător, ceea ce poate duce la atacuri ransomware.
Styx Stealer este disponibil pentru închiriere la 75 USD pe lună, cu o licență pe viață la prețul de 350 USD. Malware-ul este încă vândut în mod activ online și oricine îl poate achiziționa. Se crede că creatorul Styx Stealer este activ pe Telegram, răspunde la mesaje și dezvoltă un alt produs, Styx Crypter, care ajută la evitarea detectării anti-malware. Drept urmare, Styx Stealer rămâne o amenințare semnificativă pentru utilizatorii din întreaga lume.
Malware-ul nu vizează doar Chrome; De asemenea, compromite toate browserele bazate pe Chromium, cum ar fi Edge, Opera și Yandex, precum și browserele bazate pe Gecko precum Firefox, Tor Browser și SeaMonkey.
Cea mai recentă versiune a Styx Stealer introduce noi funcții pentru recoltarea criptomonedei. Spre deosebire de predecesorul său, Phededrone Stealer, această versiune include o funcție de cripto-clipare care funcționează autonom, fără a avea nevoie de un server Command-and-Control (C2). În același timp, malware-ul este instalat pe computerul victimei.
Aceste îmbunătățiri fac malware-ul mai eficient în a fura în tăcere criptomonede în fundal. Monitorizează clipboard-ul într-o buclă continuă, de obicei la intervale de două milisecunde. Când conținutul clipboard-ului se modifică, funcția cripto-clipper se activează, înlocuind adresa inițială a portofelului cu adresa atacatorului. Crypto-clipperul poate recunoaște 9 modele regex diferite pentru adresele portofelului în diverse blockchain, inclusiv BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH și DASH.
Pentru a-și asigura funcționarea, Styx Stealer folosește apărări suplimentare atunci când cripto-tunsoarea este activată. Acestea includ tehnici anti-debugging și anti-analiza, cu verificări efectuate o singură dată la lansarea furtorului. Programul malware include o listă detaliată a proceselor asociate cu instrumentele de depanare și analiză și le termină dacă este detectat.
Anchetatorii au identificat, de asemenea, industriile și regiunile vizate în care au fost colectate acreditări, chat-uri Telegram, vânzări de programe malware și informații de contact. Atacurile au fost urmărite în locații din Turcia, Spania și Nigeria, aceasta din urmă fiind baza Fucosreal. Cu toate acestea, rămâne neclar care locații sunt direct legate de actorul amenințării, deși unele identități online au fost urmărite.
Experții în securitatea informațiilor subliniază importanța menținerii la zi a sistemelor Windows, în special pentru cei care dețin sau comercializează criptomonede pe computerele lor. Acest nou malware este răspândit de obicei prin atașamente din e-mailuri și mesaje și prin linkuri nesigure, așa că utilizatorii de computere ar trebui să rămână vigilenți și să evite să facă clic pe conținut suspect.