Styx Stealer

Дослідники з кібербезпеки повідомили про нещодавно виявлену дуже потужну атаку від відомого загрозливого актора. Це зловмисне програмне забезпечення, націлене на користувачів Windows, призначене для викрадення широкого діапазону даних, включаючи файли cookie браузера, облікові дані безпеки та миттєві повідомлення. Хоча ядро зловмисного програмного забезпечення було помічено раніше, цю останню версію було оновлено для більш ефективного виснаження гаманців криптовалюти.

Зловмисне програмне забезпечення є вдосконаленою версією Phemedrone Stealer, яка привернула увагу на початку цього року. Він використовує вразливість у Microsoft Windows Defender, дозволяючи йому запускати сценарії на уражених комп’ютерах без ініціювання сповіщень системи безпеки.

Повідомляється, що новий варіант, який отримав назву Styx Stealer, пов’язаний із загрозою Fucosreal, яка пов’язана з агентом Tesla — трояном віддаленого доступу Windows (RAT), який часто продають як шкідливе програмне забезпечення як послуга (MaaS). Після зараження ПК може бути встановлено більш шкідливе програмне забезпечення, що потенційно може призвести до атак програм-вимагачів.

Styx Stealer доступний для оренди за 75 доларів на місяць, а довічна ліцензія коштує 350 доларів. Зловмисне програмне забезпечення все ще активно продається в Інтернеті, і будь-хто може його придбати. Вважається, що творець Styx Stealer активний у Telegram, відповідаючи на повідомлення та розробляючи інший продукт, Styx Crypter, який допомагає уникнути виявлення шкідливих програм. У результаті Styx Stealer залишається значною загрозою для користувачів у всьому світі.

Зловмисне програмне забезпечення націлено не лише на Chrome; він також компрометує всі браузери на основі Chromium, такі як Edge, Opera і Yandex, а також браузери на основі Gecko, такі як Firefox, Tor Browser і SeaMonkey.

Остання версія Styx Stealer представляє нові функції для збору криптовалюти. На відміну від свого попередника, Phemedrone Stealer, ця версія містить функцію криптовідсікання, яка працює автономно, не потребуючи сервера командування та керування (C2). При цьому шкідлива програма встановлюється на машину жертви.

Ці вдосконалення роблять зловмисне програмне забезпечення ефективнішим у тихій крадіжці криптовалюти у фоновому режимі. Він контролює буфер обміну в безперервному циклі, як правило, з інтервалом у дві мілісекунди. Коли вміст буфера обміну змінюється, активується функція крипто-кліпера, яка замінює вихідну адресу гаманця адресою зловмисника. Крипто-кліпер може розпізнавати 9 різних шаблонів регулярних виразів для адрес гаманців у різних блокчейнах, включаючи BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH і DASH.

Щоб захистити свою роботу, Styx Stealer використовує додаткові засоби захисту, коли крипто-кліпер увімкнено. До них належать методи захисту від налагодження та аналізу, коли перевірки виконуються лише один раз під час запуску крадіжки. Зловмисне програмне забезпечення включає детальний список процесів, пов’язаних із інструментами налагодження та аналізу, і припиняє їх у разі виявлення.

Слідчі також визначили цільові галузі та регіони, де збиралися облікові дані, чати Telegram, продаж шкідливого програмного забезпечення та контактна інформація. Атаки були відстежені в місцях Туреччини, Іспанії та Нігерії — остання була базою Fucosreal. Однак залишається незрозумілим, які місця безпосередньо пов’язані із загрозою, хоча деякі особи в мережі відстежуються.

Експерти з інформаційної безпеки наголошують на важливості підтримки систем Windows в актуальному стані, особливо для тих, хто зберігає або торгує криптовалютою на своїх ПК. Це нове зловмисне програмне забезпечення зазвичай поширюється через вкладення в електронних листах і повідомленнях, а також через небезпечні посилання, тому користувачі ПК повинні залишатися пильними та уникати натискання підозрілого вмісту.