Styx Stealer

Raziskovalci kibernetske varnosti so poročali o na novo odkritem, zelo močnem napadu znanega akterja grožnje. Ta zlonamerna programska oprema, ki cilja na uporabnike operacijskega sistema Windows, je zasnovana za krajo številnih podatkov, vključno s piškotki brskalnika, varnostnimi poverilnicami in neposrednimi sporočili. Čeprav je bila osnovna zlonamerna programska oprema že vidna, je bila ta najnovejša različica nadgrajena za učinkovitejše praznjenje denarnic za kriptovalute.

Zlonamerna programska oprema je razvita različica programa Phemedrone Stealer, ki je pritegnil pozornost v začetku tega leta. Izkorišča ranljivost v programu Microsoft Windows Defender, ki mu omogoča izvajanje skriptov na prizadetih osebnih računalnikih, ne da bi sprožil varnostna opozorila.

Nova različica, poimenovana Styx Stealer, naj bi bila povezana z akterjem grožnje Fucosreal, ki je povezan z agentom Teslo – trojancem Windows Remote Access (RAT), ki se pogosto prodaja kot Malware-as-a-Service (MaaS). Ko je računalnik okužen, se lahko namesti več škodljive programske opreme, kar lahko povzroči napade z izsiljevalsko programsko opremo.

Styx Stealer je na voljo za najem po ceni 75 USD na mesec, z doživljenjsko licenco po ceni 350 USD. Zlonamerna programska oprema se še vedno aktivno prodaja na spletu in vsak jo lahko kupi. Ustvarjalec Styx Stealerja naj bi bil aktiven na Telegramu, se odziva na sporočila in razvija drug izdelek, Styx Crypter, ki pomaga pri izogibanju zaznavanju zlonamerne programske opreme. Posledično Styx Stealer ostaja pomembna grožnja uporabnikom po vsem svetu.

Zlonamerna programska oprema ne cilja samo na Chrome; prav tako ogroža vse brskalnike, ki temeljijo na Chromiumu, kot so Edge, Opera in Yandex, ter brskalnike, ki temeljijo na Gecku, kot so Firefox, Tor Browser in SeaMonkey.

Najnovejša različica Styx Stealer uvaja nove funkcije za pridobivanje kriptovalut. Za razliko od svojega predhodnika, Phemedrone Stealer, ta različica vključuje funkcijo kripto izrezovanja, ki deluje samostojno, ne da bi potreboval strežnik za ukazovanje in nadzor (C2). Istočasno se zlonamerna programska oprema namesti na žrtvin stroj.

Zaradi teh izboljšav je zlonamerna programska oprema učinkovitejša pri tihi kraji kriptovalute v ozadju. Spremlja odložišče v neprekinjeni zanki, običajno v intervalih dveh milisekund. Ko se vsebina odložišča spremeni, se aktivira funkcija kripto-strižnika, ki zamenja prvotni naslov denarnice z naslovom napadalca. Kripto-strižnik lahko prepozna 9 različnih vzorcev regularnih izrazov za naslove denarnice v različnih verigah blokov, vključno z BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH in DASH.

Za zaščito svojega delovanja Styx Stealer uporablja dodatne obrambe, ko je omogočen kriptostrižnik. Ti vključujejo tehnike za odpravljanje napak in analizo, pri čemer se preverjanja izvedejo samo enkrat, ko se zažene kraj. Zlonamerna programska oprema vključuje podroben seznam procesov, povezanih z orodji za odpravljanje napak in analizo, ter jih prekine, če jih zazna.

Preiskovalci so identificirali tudi ciljne panoge in regije, kjer so bili pridobljeni poverilnice, klepeti Telegram, prodaja zlonamerne programske opreme in kontaktni podatki. Napade so izsledili na lokacijah v Turčiji, Španiji in Nigeriji – slednja je bila baza Fucosreala. Vendar ostaja nejasno, katere lokacije so neposredno povezane z akterjem grožnje, čeprav so nekaterim spletnim identitetam sledili.

Strokovnjaki za informacijsko varnost poudarjajo pomen posodabljanja sistemov Windows, zlasti za tiste, ki imajo ali trgujejo s kriptovalutami na svojih osebnih računalnikih. Ta nova zlonamerna programska oprema se običajno širi prek priponk v e-pošti in sporočilih ter nevarnih povezav, zato morajo uporabniki osebnih računalnikov ostati pozorni in se izogibati klikanju na sumljivo vsebino.

V trendu

Najbolj gledan

Nalaganje...