Styx Stealer
Siber güvenlik araştırmacıları, bilinen bir tehdit aktöründen yeni keşfedilen, oldukça güçlü bir saldırı hakkında rapor verdi. Windows kullanıcılarını hedef alan bu kötü amaçlı yazılım, tarayıcı çerezleri, güvenlik kimlik bilgileri ve anlık mesajlar dahil olmak üzere çok çeşitli verileri çalmak için tasarlanmıştır. Çekirdek kötü amaçlı yazılım daha önce görülmüş olsa da, bu son sürüm kripto para cüzdanlarını daha etkili bir şekilde boşaltmak için yükseltildi.
Kötü amaçlı yazılım, bu yılın başlarında dikkat çeken Phemedrone Stealer'ın gelişmiş bir sürümüdür. Microsoft Windows Defender'daki bir güvenlik açığını istismar ederek, güvenlik uyarılarını tetiklemeden etkilenen bilgisayarlarda komut dosyaları çalıştırmasına olanak tanır.
Styx Stealer olarak adlandırılan yeni varyantın, genellikle Malware-as-a-Service (MaaS) olarak satılan bir Windows Uzaktan Erişim Truva Atı (RAT) olan Agent Tesla ile ilişkilendirilen Fucosreal tehdit aktörüyle bağlantılı olduğu bildiriliyor. Bir PC enfekte olduğunda, daha zararlı yazılımlar yüklenebilir ve bu da potansiyel olarak fidye yazılımı saldırılarına yol açabilir.
Styx Stealer, aylık 75 dolara kiralanabilir ve ömür boyu lisansı 350 dolardır. Kötü amaçlı yazılım hala aktif olarak çevrimiçi satılıyor ve herkes satın alabilir. Styx Stealer'ın yaratıcısının Telegram'da aktif olduğu, mesajlara yanıt verdiği ve kötü amaçlı yazılımlara karşı tespitten kaçınmaya yardımcı olan başka bir ürün olan Styx Crypter'ı geliştirdiği düşünülüyor. Sonuç olarak, Styx Stealer dünya çapındaki kullanıcılar için önemli bir tehdit olmaya devam ediyor.
Kötü amaçlı yazılım yalnızca Chrome'u hedef almıyor; Edge, Opera ve Yandex gibi tüm Chromium tabanlı tarayıcıların yanı sıra Firefox, Tor Browser ve SeaMonkey gibi Gecko tabanlı tarayıcıları da tehlikeye atıyor.
Styx Stealer'ın son sürümü kripto para hasadı için yeni özellikler sunuyor. Öncülü Phemedrone Stealer'ın aksine, bu sürüm bir Komuta ve Kontrol (C2) sunucusuna ihtiyaç duymadan otonom olarak çalışan bir kripto kırpma işlevi içeriyor. Aynı zamanda, kötü amaçlı yazılım kurbanın makinesine yüklenir.
Bu geliştirmeler, kötü amaçlı yazılımın arka planda sessizce kripto para çalmasını daha etkili hale getirir. Panoyu sürekli bir döngüde, genellikle iki milisaniyelik aralıklarla izler. Pano içeriği değiştiğinde, kripto-kesici işlevi etkinleşerek orijinal cüzdan adresini saldırganın adresiyle değiştirir. Kripto-kesici, BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH ve DASH dahil olmak üzere çeşitli blok zincirlerinde cüzdan adresleri için 9 farklı regex desenini tanıyabilir.
Styx Stealer, kripto-kliper etkinleştirildiğinde çalışmasını korumak için ek savunmalar kullanır. Bunlara anti-hata ayıklama ve anti-analiz teknikleri dahildir ve kontroller yalnızca hırsız başlatıldığında bir kez gerçekleştirilir. Kötü amaçlı yazılım, hata ayıklama ve analiz araçlarıyla ilişkili süreçlerin ayrıntılı bir listesini içerir ve tespit edilirse bunları sonlandırır.
Araştırmacılar ayrıca kimlik bilgilerinin, Telegram sohbetlerinin, kötü amaçlı yazılım satışlarının ve iletişim bilgilerinin toplandığı hedeflenen endüstrileri ve bölgeleri belirledi. Saldırılar Türkiye, İspanya ve Nijerya'daki konumlara kadar izlendi; ikincisi Fucosreal'in üssüdür. Ancak, tehdit aktörüne doğrudan hangi konumların bağlı olduğu belirsizliğini koruyor, ancak bazı çevrimiçi kimlikler izlendi.
Bilgi güvenliği uzmanları, özellikle bilgisayarlarında kripto para bulunduran veya ticareti yapanlar için Windows sistemlerini güncel tutmanın önemini vurguluyor. Bu yeni kötü amaçlı yazılım genellikle e-postalardaki ve mesajlardaki ekler ve güvenli olmayan bağlantılar aracılığıyla yayılıyor, bu nedenle bilgisayar kullanıcıları dikkatli olmalı ve şüpheli içeriklere tıklamaktan kaçınmalıdır.