Styx Stealer
網路安全研究人員報告了來自已知威脅者的新發現的高效攻擊。這種惡意軟體以 Windows 使用者為目標,旨在竊取各種數據,包括瀏覽器 cookie、安全憑證和即時訊息。雖然核心惡意軟體之前已經出現過,但這個最新版本已經升級,可以更有效地耗盡加密貨幣錢包的資源。
該惡意軟體是 Phemedrone Stealer 的進化版本,今年早些時候引起了人們的注意。它利用 Microsoft Windows Defender 中的漏洞,使其能夠在受影響的 PC 上執行腳本而不會觸發安全性警報。
據報道,這種被稱為 Styx Stealer 的新變種與 Fucosreal 威脅參與者有關,後者與Agent Tesla相關——一種 Windows 遠端存取木馬 (RAT),通常作為惡意軟體即服務 (MaaS) 出售。一旦電腦被感染,就會安裝更多有害軟體,從而可能導致勒索軟體攻擊。
Styx Stealer 的租金為每月 75 美元,終身許可證價格為 350 美元。該惡意軟體仍在網上積極銷售,任何人都可以購買。據信 Styx Stealer 的創建者活躍在 Telegram 上,響應訊息並開發另一種產品 Styx Crypter,該產品有助於逃避反惡意軟體檢測。因此,Styx Stealer 仍對全球用戶構成重大威脅。
該惡意軟體不僅針對 Chrome,還針對 Chrome。它還會危害所有基於 Chromium 的瀏覽器,例如 Edge、Opera 和 Yandex,以及基於 Gecko 的瀏覽器,例如 Firefox、Tor Browser 和 SeaMonkey。
Styx Stealer 的最新版本引入了用於收集加密貨幣的新功能。與其前身 Phemedrone Stealer 不同,該版本包含加密剪輯功能,可自主運行,無需命令和控制 (C2) 伺服器。同時,惡意軟體也會安裝在受害者的電腦上。
這些增強功能使惡意軟體能夠更有效地在後台悄悄竊取加密貨幣。它以連續循環的方式監視剪貼板,通常以兩毫秒為間隔。當剪貼簿內容改變時,加密剪輯器功能就會被激活,用攻擊者的位址取代原始錢包位址。 crypto-clipper 可以識別跨不同區塊鏈的錢包位址的 9 種不同正規表示式模式,包括 BTC、ETH、XMR、XLM、XRP、LTC、NEC、BCH 和 DASH。
為了保護其運行,Styx Stealer 在啟用加密剪輯器時採用了額外的防禦措施。其中包括反調試和反分析技術,僅在竊取程序啟動時執行一次檢查。該惡意軟體包含與偵錯和分析工具相關的進程的詳細列表,並在檢測到時終止它們。
調查人員還確定了收集憑證、Telegram 聊天、惡意軟體銷售和聯絡資訊的目標行業和地區。這些攻擊可追溯到土耳其、西班牙和奈及利亞,後者是 Fucosreal 的基地。然而,儘管已經追蹤到了一些線上身份,但仍不清楚哪些位置與威脅行為者直接相關。
資安專家強調保持 Windows 系統最新的重要性,特別是對於那些在 PC 上持有或交易加密貨幣的人來說。這種新的惡意軟體通常透過電子郵件和訊息中的附件以及不安全連結傳播,因此 PC 用戶應保持警惕,避免點擊可疑內容。