Обнаружение нового вредоносного ПО Styx Stealer
Check Point Research (CPR) недавно выявила новый вариант вредоносного ПО под названием Styx Stealer, который демонстрирует удивительную способность извлекать конфиденциальную информацию у пользователей. Это вредоносное ПО предназначено для кражи данных браузера, сеансов мгновенных сообщений с платформ, таких как Telegram и Discord, а также криптовалютных активов. Несмотря на недавнее появление, Styx Stealer уже был замешан в различных атаках, включая те, которые были направлены на клиентов CPR.
Связь с Fucosreal и Agent Tesla
Интересно, что разработчик Styx Stealer был связан с Fucosreal, известным злоумышленником, связанным с вредоносным ПО Agent Tesla. Эта связь была обнаружена во время спам-кампании, которая также была направлена на клиентов CPR. Значительная ошибка в операционной безопасности разработчика Styx Stealer привела к случайной утечке конфиденциальных данных с его компьютера, предоставив CPR критически важную информацию, включая данные клиентов, маржу прибыли и личные идентификаторы.
Обзор Styx Stealer
Styx Stealer — это сложный вариант вредоносного ПО, унаследовавший многие функции от своего предшественника Phemedrone Stealer. Он способен извлекать сохраненные пароли, куки и автозаполнение данных из различных веб-браузеров, а также информацию из расширений браузера и криптовалютных кошельков. Кроме того, он может захватывать данные сеансов Telegram и Discord, собирать системную информацию и даже делать скриншоты для анализа своей среды перед выполнением своих вредоносных операций.
Хотя Styx Stealer основан на более старой версии Phemedrone Stealer, он включает новые функции, такие как автоматический запуск, мониторинг буфера обмена и улучшенные методы уклонения. Вредоносное ПО продается по подписочной модели, с ценами от за ежемесячную лицензию до 0 за пожизненную подписку. Заинтересованные покупатели должны связаться с продавцом через Telegram для оформления покупки.
Ошибки в операционной безопасности
Расследование Styx Stealer выявило значительную ошибку в операционной безопасности его создателя. Во время фазы отладки разработчик случайно утек важные данные, включая токен бота Telegram, связанный с кампанией Agent Tesla. Эта ошибка позволила CPR отследить разработку вредоносного ПО до его создателя, известного как Sty1x, который активен в киберпреступном сообществе с апреля 2024 года.
В марте 2024 года была идентифицирована спам-кампания, распространяющая вредоносный TAR-архив, содержащий вредоносное ПО Agent Tesla. Эта кампания была направлена в основном на представителей различных отраслей, включая алмазную и металлургическую отрасли, в нескольких странах. Связь между Sty1x и кампанией Agent Tesla была дополнительно подтверждена, когда было обнаружено, что бот Telegram, использованный для эксфильтрации данных, был создан Fucosreal.
Финансовые аспекты
Благодаря тщательному анализу CPR выявила всего 54 клиента, которые приобрели продукты Styx Stealer и Styx Crypter. Платежи принимались в различных криптовалютах, включая Bitcoin и Monero, с общей выручкой около ,500 за двухмесячный период. Эти финансовые данные подчеркивают прибыльность таких киберпреступных предприятий, несмотря на присущие им риски.
Технические характеристики Styx Stealer
Технические возможности Styx Stealer обширны и включают функции:
- Извлечение куки-файлов, сохраненных паролей и информации о кредитных картах из веб-браузеров.
- Кража данных из популярных криптовалютных кошельков.
- Сбор системной информации и данных о местоположении пользователя.
- Мониторинг содержимого буфера обмена для криптовалютных транзакций.
Кроме того, Styx Stealer использует различные методы уклонения от обнаружения, включая проверки инструментов отладки и сред виртуальных машин. Эти меры подчеркивают сложность вредоносного ПО и продолжающиеся вызовы в области кибербезопасности.