Styx Stealer, недавно появившийся вредоносный софт, тихо проникает в компьютеры на базе Windows, чтобы похищать криптовалюту. Определенный фирмой по кибербезопасности Check Point Research в апреле, Styx является более мощной версией предыдущего Phemodrone Stealer, который впервые привлек внимание в начале 2024 года. Этот сложный вредоносный софт использует уже устраненную уязвимость в Windows, позволяя ему перехватывать криптовалютные транзакции и извлекать конфиденциальные данные из зараженных систем, включая приватные ключи, куки браузера и данные автозаполнения.
Угрозы и механизмы
В то время как Phemodrone в основном нацеливался на веб-браузеры для кражи криптовалюты из кошельков и сбора другой информации, Styx представляет более тревожную угрозу благодаря своему механизму крипто-клиппинга. Эта функция позволяет вредоносному софту отслеживать активность буфера обмена, заменяя скопированные адреса криптовалютных кошельков на те, которые принадлежат злоумышленнику. Ранее эта техника использовалась ботнетом Phorpiex для захвата криптовалютных транзакций.
Check Point Research выявила, что Styx способен идентифицировать адреса кошельков в девяти различных блокчейнах, включая Bitcoin (BTC), Ethereum (ETH), Monero (XMR), Ripple (XRP), Litecoin (LTC), Bitcoin Cash (BCH), Stellar (XLM), Dash (DASH) и Neo (NEO). Примечательно, что браузеры на основе Chromium и Gecko, а также данные из расширений браузеров, Telegram и Discord особенно уязвимы для этого вредоносного софта.
Особенности и распространение
Конструктор Styx Stealer обладает функцией автозапуска и удобным графическим интерфейсом, упрощающим процесс настройки и развертывания вредоносного софта для киберпреступников. Кроме того, Styx включает базовые методы антианализа для сокрытия своей активности. Он может завершать процессы, связанные с отладочными инструментами, и обнаруживать виртуальные машины; при обнаружении он инициирует самоуничтожение, чтобы избежать разоблачения.
Распространение и продажа Styx осуществляется вручную через аккаунт Telegram @styxencode и сайт styxcrypter[.]com. Check Point Research также обнаружила рекламу и промо-ролики на YouTube для этого вредоносного софта. На сегодняшний день как минимум 54 человека отправили разработчику Styx около $5,500 в различных криптовалютах, включая Bitcoin и Litecoin. В отличие от своего предшественника, который распространялся бесплатно, Styx доступен по подписке: $70 за месяц, $180 за три месяца или $700 за пожизненный доступ.
Риски и последствия
Хотя общий объем украденной криптовалюты или степень заражения систем Styx остается неопределенной, рост числа вредоносных программ для кражи криптовалюты также был отмечен на MacOS от Apple. В начале этого года разработчик антивирусов Kaspersky сообщил о вредоносном ПО, нацеленном на кошельки Bitcoin и Exodus, которое заменяло легитимное ПО измененными версиями.
Возрастающая прибыльность хакерских атак и краж в расширяющемся секторе криптовалют приводит к ежегодным потерям в миллионы долларов. Однако некоторые известные злоумышленники решили прекратить свою деятельность. В прошлом месяце Angel Drainer, сервис «вредоносное ПО как услуга», ответственный за кражу более $20 миллионов, прекратил свою деятельность. Аналогично, в ноябре многоцепочечный сервис мошенничества с криптовалютами Inferno Drainer также прекратил свои услуги.