Styx Stealer
นักวิจัยด้านความปลอดภัยไซเบอร์ได้รายงานเกี่ยวกับการโจมตีที่มีประสิทธิภาพสูงที่เพิ่งค้นพบจากผู้ก่อภัยคุกคามที่ทราบกันดี มัลแวร์นี้ซึ่งกำหนดเป้าหมายผู้ใช้ Windows ได้รับการออกแบบมาเพื่อขโมยข้อมูลหลากหลายประเภท รวมถึงคุกกี้ของเบราว์เซอร์ ข้อมูลรับรองความปลอดภัย และข้อความโต้ตอบแบบทันที แม้ว่าจะเคยพบเห็นมัลแวร์หลักมาก่อนแล้ว แต่เวอร์ชันล่าสุดนี้ได้รับการอัปเกรดเพื่อดูดเงินจากกระเป๋าเงินสกุลเงินดิจิทัลได้อย่างมีประสิทธิภาพมากขึ้น
มัลแวร์ดังกล่าวเป็นเวอร์ชันที่พัฒนามาจาก Phemedrone Stealer ซึ่งได้รับความสนใจเมื่อต้นปีนี้ โดยมัลแวร์ดังกล่าวใช้ประโยชน์จากช่องโหว่ใน Microsoft Windows Defender ทำให้สามารถเรียกใช้สคริปต์บนพีซีที่ได้รับผลกระทบได้โดยไม่แสดงการแจ้งเตือนด้านความปลอดภัย
สายพันธุ์ใหม่ซึ่งมีชื่อว่า Styx Stealer มีรายงานว่าเชื่อมโยงกับผู้ก่อภัยคุกคาม Fucosreal ซึ่งเกี่ยวข้องกับ Agent Tesla ซึ่งเป็นโทรจัน Windows Remote Access (RAT) ที่มักขายในชื่อ Malware-as-a-Service (MaaS) เมื่อพีซีติดไวรัสแล้ว สามารถติดตั้งซอฟต์แวร์ที่เป็นอันตรายมากขึ้น ซึ่งอาจนำไปสู่การโจมตีด้วยแรนซัมแวร์ได้
Styx Stealer มีให้เช่าในราคา 75 เหรียญสหรัฐฯ ต่อเดือน ส่วนใบอนุญาตแบบตลอดชีพมีราคา 350 เหรียญสหรัฐฯ มัลแวร์นี้ยังคงถูกขายทางออนไลน์อย่างต่อเนื่อง และใครๆ ก็สามารถซื้อได้ เชื่อกันว่าผู้สร้าง Styx Stealer กำลังใช้งาน Telegram อยู่ โดยตอบกลับข้อความและพัฒนาผลิตภัณฑ์อีกตัวหนึ่งคือ Styx Crypter ซึ่งช่วยหลบเลี่ยงการตรวจจับของแอนตี้มัลแวร์ ดังนั้น Styx Stealer จึงยังคงเป็นภัยคุกคามที่สำคัญต่อผู้ใช้ทั่วโลก
มัลแวร์ไม่ได้มุ่งเป้าแค่ Chrome เท่านั้น แต่ยังโจมตีเบราว์เซอร์ทั้งหมดที่ใช้ Chromium เช่น Edge, Opera และ Yandex รวมไปถึงเบราว์เซอร์ที่ใช้ Gecko เช่น Firefox, Tor Browser และ SeaMonkey ด้วย
Styx Stealer เวอร์ชันล่าสุดนำเสนอฟีเจอร์ใหม่สำหรับการเก็บเกี่ยวสกุลเงินดิจิทัล ซึ่งแตกต่างจากรุ่นก่อนหน้าอย่าง Phemedrone Stealer เวอร์ชันนี้มีฟังก์ชัน crypto-clipping ที่ทำงานโดยอัตโนมัติโดยไม่ต้องใช้เซิร์ฟเวอร์ Command-and-Control (C2) ในเวลาเดียวกัน มัลแวร์จะถูกติดตั้งบนเครื่องของเหยื่อ
การปรับปรุงเหล่านี้ทำให้มัลแวร์มีประสิทธิภาพมากขึ้นในการขโมยสกุลเงินดิจิทัลอย่างเงียบ ๆ ในเบื้องหลัง มัลแวร์จะตรวจสอบคลิปบอร์ดอย่างต่อเนื่อง โดยปกติจะอยู่ที่ช่วงเวลาสองมิลลิวินาที เมื่อเนื้อหาของคลิปบอร์ดเปลี่ยนแปลง ฟังก์ชัน crypto-clipper จะทำงานโดยแทนที่ที่อยู่กระเป๋าสตางค์เดิมด้วยที่อยู่ของผู้โจมตี crypto-clipper สามารถจดจำรูปแบบ regex ที่แตกต่างกัน 9 แบบสำหรับที่อยู่กระเป๋าสตางค์ในบล็อคเชนต่าง ๆ รวมถึง BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH และ DASH
เพื่อปกป้องการทำงาน Styx Stealer จะใช้การป้องกันเพิ่มเติมเมื่อเปิดใช้งาน crypto-clipper ซึ่งรวมถึงเทคนิคต่อต้านการดีบักและการวิเคราะห์ โดยจะทำการตรวจสอบเพียงครั้งเดียวเมื่อเปิดใช้งานโปรแกรมขโมยข้อมูล มัลแวร์มีรายการโดยละเอียดของกระบวนการที่เกี่ยวข้องกับเครื่องมือดีบักและการวิเคราะห์ และจะยุติกระบวนการเหล่านี้หากตรวจพบ
นอกจากนี้ นักสืบยังระบุถึงอุตสาหกรรมและภูมิภาคเป้าหมายที่รวบรวมข้อมูลประจำตัว การสนทนาผ่าน Telegram การขายมัลแวร์ และข้อมูลติดต่อ การโจมตีดังกล่าวสามารถติดตามได้จากสถานที่ต่างๆ ในตุรกี สเปน และไนจีเรีย ซึ่งประเทศหลังเป็นฐานที่มั่นของ Fucosreal อย่างไรก็ตาม ยังไม่ชัดเจนว่าสถานที่ใดเชื่อมโยงโดยตรงกับผู้ก่อภัยคุกคาม แม้ว่าจะมีการติดตามตัวตนออนไลน์บางส่วนแล้วก็ตาม
ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเน้นย้ำถึงความสำคัญของการอัปเดตระบบ Windows ให้ทันสมัย โดยเฉพาะสำหรับผู้ที่ถือครองหรือซื้อขายสกุลเงินดิจิทัลบนพีซี มัลแวร์ใหม่นี้มักแพร่กระจายผ่านไฟล์แนบในอีเมลและข้อความ รวมถึงลิงก์ที่ไม่ปลอดภัย ดังนั้นผู้ใช้พีซีจึงควรระมัดระวังและหลีกเลี่ยงการคลิกเนื้อหาที่น่าสงสัย