Styx Stealer
Ang mga mananaliksik sa cybersecurity ay nag-ulat tungkol sa isang bagong natuklasan, napakalakas na pag-atake mula sa isang kilalang aktor ng pagbabanta. Ang malware na ito, na nagta-target sa mga user ng Windows, ay idinisenyo upang magnakaw ng malawak na hanay ng data, kabilang ang cookies ng browser, mga kredensyal sa seguridad, at mga instant na mensahe. Habang ang pangunahing malware ay nakita na dati, ang pinakabagong bersyon na ito ay na-upgrade upang mas epektibong maubos ang mga wallet ng cryptocurrency.
Ang malware ay isang nagbagong bersyon ng Phemedrone Stealer, na nakakuha ng pansin sa mas maagang bahagi ng taong ito. Sinasamantala nito ang isang kahinaan sa Microsoft Windows Defender, na nagbibigay-daan dito na magpatakbo ng mga script sa mga apektadong PC nang hindi nagti-trigger ng mga alerto sa seguridad.
Ang bagong variant, na tinawag na Styx Stealer, ay iniulat na nauugnay sa Fucosreal threat actor, na nauugnay sa Agent Tesla —isang Windows Remote Access Trojan (RAT) na kadalasang ibinebenta bilang Malware-as-a-Service (MaaS). Kapag nahawa na ang PC, maaaring mag-install ng mas nakakapinsalang software, na posibleng humahantong sa mga pag-atake ng ransomware.
Ang Styx Stealer ay available para rentahan sa halagang $75 bawat buwan, na may panghabambuhay na lisensya na nagkakahalaga ng $350. Aktibong ibinebenta pa rin online ang malware, at mabibili ito ng sinuman. Ang lumikha ng Styx Stealer ay pinaniniwalaang aktibo sa Telegram, tumutugon sa mga mensahe at bumuo ng isa pang produkto, ang Styx Crypter, na tumutulong sa pag-iwas sa pagtuklas ng anti-malware. Bilang resulta, ang Styx Stealer ay nananatiling isang malaking banta sa mga user sa buong mundo.
Ang malware ay hindi lamang nagta-target sa Chrome; kinokompromiso din nito ang lahat ng browser na nakabatay sa Chromium, gaya ng Edge, Opera, at Yandex, pati na rin ang mga browser na nakabatay sa Tuko tulad ng Firefox, Tor Browser at SeaMonkey.
Ang pinakabagong bersyon ng Styx Stealer ay nagpapakilala ng mga bagong feature para sa pag-aani ng cryptocurrency. Hindi tulad ng hinalinhan nito, ang Phemedrone Stealer, ang bersyon na ito ay may kasamang crypto-clipping function na autonomously gumagana nang hindi nangangailangan ng Command-and-Control (C2) server. Kasabay nito, naka-install ang malware sa makina ng biktima.
Ang mga pagpapahusay na ito ay ginagawang mas epektibo ang malware sa tahimik na pagnanakaw ng cryptocurrency sa background. Sinusubaybayan nito ang clipboard sa isang tuluy-tuloy na loop, karaniwang sa dalawang millisecond na pagitan. Kapag nagbago ang content ng clipboard, mag-a-activate ang crypto-clipper function, na pinapalitan ang orihinal na wallet address ng address ng attacker. Makikilala ng crypto-clipper ang 9 na magkakaibang regex pattern para sa mga address ng wallet sa iba't ibang blockchain, kabilang ang BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH at DASH.
Upang mapangalagaan ang operasyon nito, gumagamit ang Styx Stealer ng mga karagdagang panlaban kapag pinagana ang crypto-clipper. Kabilang dito ang mga diskarte sa anti-debugging at anti-analysis, na may mga pagsusuring ginawa nang isang beses lamang kapag inilunsad ang magnanakaw. Kasama sa malware ang isang detalyadong listahan ng mga prosesong nauugnay sa mga tool sa pag-debug at pagsusuri at wawakasan ang mga ito kung matukoy.
Tinukoy din ng mga imbestigador ang mga target na industriya at rehiyon kung saan kinukuha ang mga kredensyal, mga chat sa Telegram, pagbebenta ng malware, at impormasyon sa pakikipag-ugnayan. Ang mga pag-atake ay natunton sa mga lokasyon sa Turkey, Spain at Nigeria—na ang huli ay ang base ng Fucosreal. Gayunpaman, nananatiling hindi malinaw kung aling mga lokasyon ang direktang naka-link sa aktor ng pagbabanta, kahit na ang ilang mga online na pagkakakilanlan ay nasubaybayan.
Binibigyang-diin ng mga eksperto sa seguridad ng impormasyon ang kahalagahan ng pagpapanatiling napapanahon ng mga Windows system, partikular para sa mga may hawak o nakikipagkalakal ng cryptocurrency sa kanilang mga PC. Ang bagong malware na ito ay karaniwang kumakalat sa pamamagitan ng mga attachment sa mga email at mensahe at hindi ligtas na mga link, kaya ang mga gumagamit ng PC ay dapat manatiling mapagbantay at iwasan ang pag-click sa kahina-hinalang nilalaman.