Styx Stealer

Исследователи кибербезопасности сообщили о недавно обнаруженной, очень мощной атаке от известного субъекта угроз. Эта вредоносная программа, нацеленная на пользователей Windows, предназначена для кражи широкого спектра данных, включая файлы cookie браузера, учетные данные безопасности и мгновенные сообщения. Хотя основная вредоносная программа уже была замечена ранее, эта последняя версия была обновлена для более эффективного опустошения криптовалютных кошельков.

Вредоносная программа представляет собой усовершенствованную версию Phemedrone Stealer, которая привлекла внимание в начале этого года. Она использует уязвимость в Microsoft Windows Defender, позволяя ей запускать скрипты на зараженных ПК, не вызывая оповещений безопасности.

Новый вариант, получивший название Styx Stealer, как сообщается, связан с группой Fucosreal, которая ассоциируется с Agent Tesla — трояном Windows Remote Access (RAT), часто продаваемым как Malware-as-a-Service (MaaS). После заражения ПК может быть установлено более вредоносное программное обеспечение, что может привести к атакам с целью вымогательства.

Styx Stealer можно арендовать за 75 долларов в месяц, а пожизненная лицензия стоит 350 долларов. Вредоносная программа по-прежнему активно продается в Интернете, и любой желающий может ее купить. Считается, что создатель Styx Stealer активен в Telegram, отвечает на сообщения и разрабатывает другой продукт, Styx Crypter, который помогает обходить обнаружение антивирусными программами. В результате Styx Stealer остается серьезной угрозой для пользователей по всему миру.

Вредоносное ПО нацелено не только на Chrome; оно также затрагивает все браузеры на базе Chromium, такие как Edge, Opera и Yandex, а также браузеры на базе Gecko, такие как Firefox, Tor Browser и SeaMonkey.

Последняя версия Styx Stealer представляет новые функции для сбора криптовалюты. В отличие от своего предшественника Phemedrone Stealer, эта версия включает функцию крипто-клиппинга, которая работает автономно, без необходимости в сервере Command-and-Control (C2). В то же время вредоносное ПО устанавливается на машину жертвы.

Эти усовершенствования делают вредоносное ПО более эффективным для тихой кражи криптовалюты в фоновом режиме. Он отслеживает буфер обмена в непрерывном цикле, как правило, с интервалом в две миллисекунды. Когда содержимое буфера обмена изменяется, активируется функция крипто-клипера, заменяя исходный адрес кошелька адресом злоумышленника. Крипто-клипер может распознавать 9 различных шаблонов регулярных выражений для адресов кошельков в различных блокчейнах, включая BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH и DASH.

Для защиты своей работы Styx Stealer использует дополнительные средства защиты при включении криптоклиппера. Они включают в себя методы антиотладки и антианализа, при этом проверки выполняются только один раз при запуске стилера. Вредоносная программа включает в себя подробный список процессов, связанных с инструментами отладки и анализа, и завершает их в случае обнаружения.

Следователи также определили целевые отрасли и регионы, где собирались учетные данные, чаты Telegram, продажи вредоносного ПО и контактная информация. Атаки были отслежены до мест в Турции, Испании и Нигерии — последняя была базой Fucosreal. Однако остается неясным, какие места напрямую связаны с субъектом угрозы, хотя некоторые онлайн-идентификаторы были отслежены.

Эксперты по информационной безопасности подчеркивают важность поддержания систем Windows в актуальном состоянии, особенно для тех, кто хранит или торгует криптовалютой на своих ПК. Это новое вредоносное ПО обычно распространяется через вложения в электронных письмах и сообщениях, а также через небезопасные ссылки, поэтому пользователям ПК следует сохранять бдительность и избегать нажатия на подозрительный контент.

В тренде

Наиболее просматриваемые

Загрузка...