Styx Stealer
网络安全研究人员报告了一起新发现的、来自已知威胁行为者的高威力攻击。该恶意软件以 Windows 用户为目标,旨在窃取各种数据,包括浏览器 cookie、安全凭证和即时消息。虽然核心恶意软件之前也出现过,但最新版本已升级,可以更有效地窃取加密货币钱包。
该恶意软件是今年早些时候引起关注的 Phemedrone Stealer 的进化版本。它利用 Microsoft Windows Defender 中的漏洞,使其能够在受影响的 PC 上运行脚本而不会触发安全警报。
据报道,这种被称为 Styx Stealer 的新变种与 Fucosreal 威胁行为者有关,后者与Agent Tesla有关联。Agent Tesla 是一种 Windows 远程访问木马 (RAT),通常以恶意软件即服务 (MaaS) 的形式出售。一旦 PC 被感染,就会安装更多有害软件,从而可能导致勒索软件攻击。
Styx Stealer 的月租价格为 75 美元,终身许可证价格为 350 美元。该恶意软件仍在网上积极销售,任何人都可以购买。据信 Styx Stealer 的创建者在 Telegram 上很活跃,回复消息并开发另一款产品 Styx Crypter,该产品有助于逃避反恶意软件检测。因此,Styx Stealer 仍然对全球用户构成重大威胁。
该恶意软件不仅针对 Chrome;它还会危害所有基于 Chromium 的浏览器,例如 Edge、Opera 和 Yandex,以及基于 Gecko 的浏览器,例如 Firefox、Tor Browser 和 SeaMonkey。
Styx Stealer 的最新版本引入了用于收集加密货币的新功能。与其前身 Phemedrone Stealer 不同,此版本包含一个加密剪辑功能,该功能可自主运行,无需命令和控制 (C2) 服务器。同时,恶意软件会安装在受害者的机器上。
这些增强功能使恶意软件能够更有效地在后台悄悄窃取加密货币。它会以连续循环的方式监视剪贴板,通常间隔两毫秒。当剪贴板内容发生变化时,加密剪辑功能就会激活,用攻击者的地址替换原始钱包地址。加密剪辑可以识别各种区块链中钱包地址的 9 种不同正则表达式模式,包括 BTC、ETH、XMR、XLM、XRP、LTC、NEC、BCH 和 DASH。
为了保障其运行安全,Styx Stealer 在启用加密剪辑器时采用了额外的防御措施。这些措施包括反调试和反分析技术,在启动窃取程序时只执行一次检查。该恶意软件包含与调试和分析工具相关的进程的详细列表,如果检测到,它会终止这些进程。
调查人员还确定了目标行业和地区,在这些行业和地区,凭证、Telegram 聊天、恶意软件销售和联系信息被收集。这些攻击被追踪到土耳其、西班牙和尼日利亚的地点——后者是 Fucosreal 的基地。然而,目前尚不清楚哪些地点与威胁行为者直接相关,尽管一些在线身份已被追踪。
信息安全专家强调,保持 Windows 系统更新非常重要,尤其是对于那些在 PC 上持有或交易加密货币的人来说。这种新型恶意软件通常通过电子邮件和消息中的附件以及不安全的链接传播,因此 PC 用户应保持警惕,避免点击可疑内容。