Styx Stealer
Výskumníci v oblasti kybernetickej bezpečnosti informovali o novoobjavenom, vysoko potentnom útoku od známeho aktéra hrozby. Tento malvér, ktorý sa zameriava na používateľov systému Windows, je navrhnutý tak, aby ukradol širokú škálu údajov vrátane súborov cookie prehliadača, bezpečnostných poverení a okamžitých správ. Zatiaľ čo základný malvér sme už videli, táto najnovšia verzia bola inovovaná, aby efektívnejšie odčerpávala kryptomenové peňaženky.
Malvér je vyvinutá verzia Phemedrone Stealer, ktorá si získala pozornosť začiatkom tohto roka. Využíva zraniteľnosť v programe Microsoft Windows Defender, čo mu umožňuje spúšťať skripty na postihnutých počítačoch bez spúšťania bezpečnostných upozornení.
Nový variant, nazvaný Styx Stealer, je údajne spojený s aktérom hrozby Fucosreal, ktorý je spájaný s agentom Tesla – trójskym koňom Windows Remote Access (RAT), ktorý sa často predáva ako Malware-as-a-Service (MaaS). Akonáhle je počítač infikovaný, môže byť nainštalovaný ďalší škodlivý softvér, čo môže viesť k útokom ransomvéru.
Styx Stealer je k dispozícii na prenájom za 75 dolárov mesačne, s doživotnou licenciou za cenu 350 dolárov. Malvér sa stále aktívne predáva online a môže si ho kúpiť ktokoľvek. Predpokladá sa, že tvorca Styx Stealer je aktívny v telegrame, odpovedá na správy a vyvíja ďalší produkt, Styx Crypter, ktorý pomáha vyhnúť sa detekcii antimalvéru. Výsledkom je, že Styx Stealer zostáva významnou hrozbou pre používateľov na celom svete.
Malvér sa nezameriava len na Chrome; kompromituje tiež všetky prehliadače založené na prehliadači Chromium, ako sú Edge, Opera a Yandex, ako aj prehliadače založené na Gecko, ako sú Firefox, Tor Browser a SeaMonkey.
Najnovšia verzia Styx Stealer predstavuje nové funkcie pre zber kryptomien. Na rozdiel od svojho predchodcu, Phemedrone Stealer, táto verzia obsahuje funkciu orezávania kryptomien, ktorá funguje autonómne bez potreby servera Command-and-Control (C2). Zároveň je malvér nainštalovaný na počítači obete.
Tieto vylepšenia robia malvér efektívnejším pri tichom kradnutí kryptomien na pozadí. Monitoruje schránku v nepretržitej slučke, zvyčajne v dvojmilisekundových intervaloch. Pri zmene obsahu schránky sa aktivuje funkcia crypto-clipper, ktorá nahradí pôvodnú adresu peňaženky adresou útočníka. Krypto-clipper dokáže rozpoznať 9 rôznych vzorov regulárnych výrazov pre adresy peňaženiek v rôznych blockchainoch vrátane BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH a DASH.
Na zabezpečenie svojej prevádzky využíva Styx Stealer dodatočnú ochranu, keď je povolený krypto-clipper. Patria sem techniky proti ladeniu a antianalýze, pričom kontroly sa vykonávajú iba raz, keď sa spustí zlodej. Malvér obsahuje podrobný zoznam procesov spojených s nástrojmi na ladenie a analýzu a v prípade zistenia ich ukončí.
Vyšetrovatelia tiež identifikovali cieľové odvetvia a regióny, v ktorých sa zbierali poverenia, telegramové rozhovory, predaj škodlivého softvéru a kontaktné informácie. Útoky boli vysledované na miestach v Turecku, Španielsku a Nigérii, pričom tá bola základňou Fucosrealu. Stále však nie je jasné, ktoré miesta sú priamo spojené s aktérom hrozby, hoci boli sledované niektoré online identity.
Odborníci na informačnú bezpečnosť zdôrazňujú dôležitosť udržiavania aktuálnych systémov Windows, najmä pre tých, ktorí držia alebo obchodujú s kryptomenami na svojich počítačoch. Tento nový malvér sa zvyčajne šíri prostredníctvom príloh v e-mailoch a správach a nebezpečných odkazov, takže používatelia PC by mali zostať ostražití a vyhýbať sa klikaniu na podozrivý obsah.