Styx Stealer
Các nhà nghiên cứu an ninh mạng đã báo cáo về một cuộc tấn công mới được phát hiện, cực kỳ mạnh mẽ từ một tác nhân đe dọa đã biết. Phần mềm độc hại này, nhắm vào người dùng Windows, được thiết kế để đánh cắp nhiều loại dữ liệu, bao gồm cookie trình duyệt, thông tin xác thực bảo mật và tin nhắn tức thời. Mặc dù phần mềm độc hại cốt lõi đã được phát hiện trước đây, phiên bản mới nhất này đã được nâng cấp để rút tiền từ ví tiền điện tử hiệu quả hơn.
Phần mềm độc hại này là phiên bản phát triển của Phemedrone Stealer, đã thu hút sự chú ý vào đầu năm nay. Nó khai thác lỗ hổng trong Microsoft Windows Defender, cho phép chạy các tập lệnh trên PC bị ảnh hưởng mà không kích hoạt cảnh báo bảo mật.
Biến thể mới, được gọi là Styx Stealer, được cho là có liên quan đến tác nhân đe dọa Fucosreal, có liên quan đến Agent Tesla —một Trojan truy cập từ xa Windows (RAT) thường được bán dưới dạng Malware-as-a-Service (MaaS). Khi PC bị nhiễm, nhiều phần mềm độc hại hơn có thể được cài đặt, có khả năng dẫn đến các cuộc tấn công ransomware.
Styx Stealer có thể được thuê với giá 75 đô la một tháng, với giấy phép trọn đời có giá 350 đô la. Phần mềm độc hại này vẫn đang được bán trực tuyến và bất kỳ ai cũng có thể mua. Người tạo ra Styx Stealer được cho là đang hoạt động trên Telegram, trả lời tin nhắn và phát triển một sản phẩm khác, Styx Crypter, giúp tránh bị phát hiện bởi phần mềm chống phần mềm độc hại. Do đó, Styx Stealer vẫn là mối đe dọa đáng kể đối với người dùng trên toàn thế giới.
Phần mềm độc hại này không chỉ nhắm vào Chrome; nó còn xâm phạm tất cả các trình duyệt dựa trên Chromium, chẳng hạn như Edge, Opera và Yandex, cũng như các trình duyệt dựa trên Gecko như Firefox, Tor Browser và SeaMonkey.
Phiên bản mới nhất của Styx Stealer giới thiệu các tính năng mới để thu thập tiền điện tử. Không giống như phiên bản trước, Phemedrone Stealer, phiên bản này bao gồm chức năng cắt mã hóa hoạt động tự động mà không cần máy chủ Command-and-Control (C2). Đồng thời, phần mềm độc hại được cài đặt trên máy của nạn nhân.
Những cải tiến này làm cho phần mềm độc hại hiệu quả hơn trong việc đánh cắp tiền điện tử một cách âm thầm trong nền. Nó theo dõi clipboard trong một vòng lặp liên tục, thường là ở khoảng thời gian hai mili giây. Khi nội dung clipboard thay đổi, chức năng crypto-clipper sẽ kích hoạt, thay thế địa chỉ ví gốc bằng địa chỉ của kẻ tấn công. Crypto-clipper có thể nhận dạng 9 mẫu regex khác nhau cho các địa chỉ ví trên nhiều blockchain khác nhau, bao gồm BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH và DASH.
Để bảo vệ hoạt động của mình, Styx Stealer sử dụng các biện pháp phòng thủ bổ sung khi crypto-clipper được bật. Các biện pháp này bao gồm các kỹ thuật chống gỡ lỗi và chống phân tích, với các lần kiểm tra chỉ được thực hiện một lần khi stealer được khởi chạy. Phần mềm độc hại bao gồm danh sách chi tiết các quy trình liên quan đến các công cụ gỡ lỗi và phân tích và chấm dứt chúng nếu bị phát hiện.
Các nhà điều tra cũng xác định các ngành công nghiệp và khu vực mục tiêu nơi thông tin đăng nhập, trò chuyện trên Telegram, bán phần mềm độc hại và thông tin liên lạc đã bị thu thập. Các cuộc tấn công đã được truy tìm đến các địa điểm ở Thổ Nhĩ Kỳ, Tây Ban Nha và Nigeria—nơi sau là căn cứ của Fucosreal. Tuy nhiên, vẫn chưa rõ địa điểm nào có liên quan trực tiếp đến tác nhân đe dọa, mặc dù một số danh tính trực tuyến đã được theo dõi.
Các chuyên gia bảo mật thông tin nhấn mạnh tầm quan trọng của việc cập nhật hệ thống Windows, đặc biệt là đối với những người nắm giữ hoặc giao dịch tiền điện tử trên PC của họ. Phần mềm độc hại mới này thường lây lan qua các tệp đính kèm trong email và tin nhắn và các liên kết không an toàn, vì vậy người dùng PC nên luôn cảnh giác và tránh nhấp vào nội dung đáng ngờ.