Тревожный отчет от Check Point Research, опубликованный сегодня и впервые подробно описанный здесь на Forbes, предупреждает о мощной новой атаке от известного злоумышленника. Нацеленный на пользователей Windows, этот «вредоносный» новый вредоносный софт крадет все, что может найти, включая файлы cookie браузера, учетные данные безопасности и мгновенные сообщения. Основной вредоносный софт уже был замечен ранее, но эта последняя версия была улучшена для более эффективного опустошения криптокошельков.
Обзор угрозы
Вредоносный софт является адаптацией Phemedrone Stealer, который попал в заголовки новостей в начале этого года. Эксплуатируя уязвимость в Microsoft Windows Defender, программное обеспечение выполняет скрипты на ПК без каких-либо предупреждений безопасности.
Microsoft исправила уязвимость CVE-2023-36025 в прошлом году, и пользователи могут защитить себя, убедившись, что их операционная система обновлена. Однако с сотнями миллионов пользователей Windows 10, которые столкнутся с прекращением поддержки в октябре 2025 года, многие из которых не могут обновиться до Windows 11 или приобрести новое устройство, потенциал для эксплуатации значительно возрастает.
Check Point идентифицирует этот новый вариант вредоносного софта, названный Styx Stealer, как связанный с одним из злоумышленников Agent Tesla, известным как Fucosreal. Agent Tesla — это Windows Remote Access Trojan (RAT), обычно предлагаемый как Malware-As-A-Service (MaaS). После компрометации ПК он открывает дверь для установки более опасного программного обеспечения, часто приводя к атакам с использованием вымогательского ПО.
Доступность и функциональность
Styx Stealer доступен для аренды за 0 в месяц, с пожизненной лицензией по цене 0. Check Point отметил, что «веб-сайт, продающий Styx Stealer, все еще активен, и любой может его приобрести». Создатель Styx Stealer остается активным на Telegram, отвечая на запросы и, по сообщениям, работая над вторым продуктом, Styx Crypter, предназначенным для обхода антивирусной защиты. Таким образом, Styx Stealer продолжает представлять значительную угрозу для пользователей по всему миру.
Хотя Styx Stealer использует уязвимость Windows для заражения систем, он также использует другие слабые места безопасности, включая кражу файлов cookie сеансов, что позволяет злоумышленнику воспроизводить безопасные входы на свои собственные машины. Google Chrome является основной целью таких краж из-за своей обширной пользовательской базы. В ответ Google внедряет меры по привязке файлов cookie сеансов к конкретным идентификаторам устройств, эффективно устраняя уязвимость. Кроме того, Google шифрует и связывает данные файлов cookie с конкретными приложениями, снижая риск несанкционированного доступа через вредоносные логины.
Однако угроза не ограничивается Chrome. Check Point указывает, что Styx Stealer нацелен на все браузеры на базе Chromium, включая Edge, Opera и Yandex, а также на альтернативы на базе Gecko, такие как Firefox, Tor Browser и SeaMonkey.
Инновационные методы кражи криптовалюты
Новые элементы, введенные в этот вредоносный софт, улучшают его возможности по краже криптовалюты. Check Point объясняет: «кража криптовалюты через крипто-клиппинг — это новая функция, отсутствующая в Phemedrone Stealer, которая работает автономно без сервера команд и управления во время установки вредоносного софта на машину жертвы». Это позволяет Styx Stealer тихо выводить криптовалюту в фоновом режиме.
Styx Stealer непрерывно отслеживает буфер обмена с настраиваемыми интервалами (по умолчанию каждые две миллисекунды). Если он обнаруживает изменение, он запускает функцию крипто-клиппера, которая крадет криптовалюту во время транзакций путем замены оригинального адреса кошелька на адрес злоумышленника. Крипто-клиппер оснащен девятью шаблонами регулярных выражений для адресов различных блокчейнов, включая BTC, ETH и XMR.
В стремлении к скрытности вредоносный софт применяет дополнительные средства защиты для обеспечения своей работы. Если крипто-клиппер активирован, Styx Stealer реализует методы антиотладки и анализа.