Styx Stealer
Cybersäkerhetsforskare har rapporterat om en nyupptäckt, mycket potent attack från en känd hotaktör. Denna skadliga programvara, som riktar sig till Windows-användare, är utformad för att stjäla ett brett utbud av data, inklusive webbläsarcookies, säkerhetsuppgifter och snabbmeddelanden. Även om kärnan av skadlig kod har setts tidigare, har den senaste versionen uppgraderats för att tömma kryptovaluta plånböcker mer effektivt.
Skadlig programvara är en utvecklad version av Phemedrone Stealer, som fick uppmärksamhet tidigare i år. Den utnyttjar en sårbarhet i Microsoft Windows Defender, vilket gör att den kan köra skript på drabbade datorer utan att utlösa säkerhetsvarningar.
Den nya varianten, kallad Styx Stealer, är enligt uppgift kopplad till Fucosreal-hotaktören, som är associerad med Agent Tesla - en Windows Remote Access Trojan (RAT) som ofta säljs som Malware-as-a-Service (MaaS). När en dator väl är infekterad kan mer skadlig programvara installeras, vilket kan leda till ransomware-attacker.
Styx Stealer finns att hyra för $75 per månad, med en livstidslicens prissatt till $350. Skadlig programvara säljs fortfarande aktivt online och vem som helst kan köpa den. Skaparen av Styx Stealer tros vara aktiv på Telegram, svara på meddelanden och utveckla en annan produkt, Styx Crypter, som hjälper till att undvika upptäckt av skadlig programvara. Som ett resultat förblir Styx Stealer ett betydande hot mot användare över hela världen.
Skadlig programvara riktar sig inte bara till Chrome; det äventyrar alla Chromium-baserade webbläsare, som Edge, Opera och Yandex, såväl som Gecko-baserade webbläsare som Firefox, Tor Browser och SeaMonkey.
Den senaste versionen av Styx Stealer introducerar nya funktioner för att skörda kryptovaluta. Till skillnad från sin föregångare, Phemedrone Stealer, innehåller den här versionen en kryptoklippningsfunktion som fungerar autonomt utan att behöva en Command-and-Control-server (C2). Samtidigt installeras skadlig programvara på offrets dator.
Dessa förbättringar gör skadlig programvara mer effektiv för att tyst stjäla kryptovaluta i bakgrunden. Den övervakar urklippet i en kontinuerlig slinga, vanligtvis med två millisekunders intervall. När innehållet i urklippet ändras aktiveras kryptoklippningsfunktionen, och den ursprungliga plånboksadressen ersätts med angriparens adress. Kryptoklipparen kan känna igen 9 olika regex-mönster för plånboksadresser över olika blockkedjor, inklusive BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH och DASH.
För att skydda dess funktion använder Styx Stealer ytterligare försvar när kryptoklipparen är aktiverad. Dessa inkluderar anti-debugging och anti-analystekniker, med kontroller som endast utförs en gång när stealern startas. Skadlig programvara inkluderar en detaljerad lista över processer associerade med felsöknings- och analysverktyg och avslutar dem om de upptäcks.
Utredarna identifierade också riktade branscher och regioner där referenser, Telegram-chattar, försäljning av skadlig programvara och kontaktinformation samlades in. Attackerna spårades till platser i Turkiet, Spanien och Nigeria – det senare är Fucosreals bas. Det är dock fortfarande oklart vilka platser som är direkt kopplade till hotaktören, även om vissa onlineidentiteter har spårats.
Informationssäkerhetsexperter betonar vikten av att hålla Windows-system uppdaterade, särskilt för dem som har eller handlar med kryptovaluta på sina datorer. Denna nya skadliga programvara sprids vanligtvis genom bilagor i e-postmeddelanden och meddelanden och osäkra länkar, så PC-användare bör vara vaksamma och undvika att klicka på misstänkt innehåll.