Styx Stealer
Studiuesit e sigurisë kibernetike kanë raportuar në lidhje me një sulm të sapo zbuluar, shumë të fuqishëm nga një aktor i njohur kërcënimi. Ky malware, i cili synon përdoruesit e Windows, është krijuar për të vjedhur një gamë të gjerë të dhënash, duke përfshirë kukit e shfletuesit, kredencialet e sigurisë dhe mesazhet e çastit. Ndërsa malware bazë është parë më parë, ky version i fundit është përmirësuar për të kulluar në mënyrë më efektive kuletat e kriptomonedhave.
Malware është një version i evoluar i Phemedrone Stealer, i cili fitoi vëmendje në fillim të këtij viti. Ai shfrytëzon një dobësi në Microsoft Windows Defender, duke e lejuar atë të ekzekutojë skriptet në kompjuterët e prekur pa shkaktuar alarme sigurie.
Varianti i ri, i quajtur Styx Stealer, raportohet se është i lidhur me aktorin e kërcënimit Fucosreal, i cili është i lidhur me Agjentin Tesla - një Trojan i Windows Remote Access (RAT) që shpesh shitet si Malware-as-a-Service (MaaS). Pasi një PC të infektohet, mund të instalohet softuer më i dëmshëm, duke çuar potencialisht në sulme ransomware.
Styx Stealer ofrohet me qira me 75 dollarë në muaj, me një licencë të përjetshme me çmim 350 dollarë. Malware është ende duke u shitur në mënyrë aktive në internet dhe çdokush mund ta blejë atë. Krijuesi i Styx Stealer besohet të jetë aktiv në Telegram, duke iu përgjigjur mesazheve dhe duke zhvilluar një produkt tjetër, Styx Crypter, i cili ndihmon në shmangien e zbulimit të anti-malware. Si rezultat, Styx Stealer mbetet një kërcënim i rëndësishëm për përdoruesit në mbarë botën.
Malware nuk synon vetëm Chrome; ai gjithashtu komprometon të gjithë shfletuesit e bazuar në Chromium, si Edge, Opera dhe Yandex, si dhe shfletuesit me bazë Gecko si Firefox, Tor Browser dhe SeaMonkey.
Versioni i fundit i Styx Stealer prezanton veçori të reja për grumbullimin e kriptomonedhës. Ndryshe nga paraardhësi i tij, Phemedrone Stealer, ky version përfshin një funksion kripto-clipping që funksionon në mënyrë autonome pa pasur nevojë për një server Command-and-Control (C2). Në të njëjtën kohë, malware është instaluar në makinën e viktimës.
Këto përmirësime e bëjnë malware më efektiv në vjedhjen në heshtje të kriptomonedhës në sfond. Ai monitoron tabelën e fragmenteve në një lak të vazhdueshëm, zakonisht në intervale dy milisekonda. Kur ndryshon përmbajtja e kujtesës, funksioni i kripto-clipper aktivizohet, duke zëvendësuar adresën origjinale të portofolit me adresën e sulmuesit. Kripto-clipper mund të njohë 9 modele të ndryshme regex për adresat e portofolit nëpër blloqe të ndryshme, duke përfshirë BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH dhe DASH.
Për të mbrojtur funksionimin e tij, Styx Stealer përdor mbrojtje shtesë kur aktivizohet kripto-clipper. Këto përfshijnë teknika kundër korrigjimit dhe anti-analizës, me kontrolle të kryera vetëm një herë kur vjedhësi lëshohet. Malware përfshin një listë të detajuar të proceseve të lidhura me mjetet e korrigjimit dhe analizës dhe i përfundon ato nëse zbulohen.
Hetuesit identifikuan gjithashtu industri dhe rajone të synuara ku u morën kredencialet, bisedat në Telegram, shitjet e malware dhe informacionet e kontaktit. Sulmet u gjurmuan në vendndodhje në Turqi, Spanjë dhe Nigeri - kjo e fundit është baza e Fucosreal. Megjithatë, mbetet e paqartë se cilat vende janë të lidhura drejtpërdrejt me aktorin e kërcënimit, megjithëse disa identitete në internet janë gjurmuar.
Ekspertët e sigurisë së informacionit theksojnë rëndësinë e mbajtjes së sistemeve Windows të përditësuar, veçanërisht për ata që mbajnë ose tregtojnë kriptovaluta në kompjuterët e tyre. Ky malware i ri zakonisht përhapet përmes bashkëngjitjeve në email dhe mesazhe dhe lidhje të pasigurta, kështu që përdoruesit e PC duhet të qëndrojnë vigjilentë dhe të shmangin klikimin në përmbajtje të dyshimtë.