Styx Stealer: создатель опасного вредоноса случайно разоблачил сам себя

Безопасный VPN через Телеграмм – обойди все блокировки:

Исследователи Check Point проследили путь от Agent Tesla до хакера Sty1x.

Check Point обнаружила серьезную ошибку операционной безопасности в новой вредоносной программе Styx Stealer, которая позволила исследователям выследить и разоблачить ее автора. Компания утверждает, что разработчик заразил их собственный компьютер. Именно благодаря этому стилер удалось связать с турецким хакером, известным под псевдонимом Sty1x.

Styx Stealer представляет собой модифицированную версию вредоносного ПО Phemedrone Stealer, которое стало широко известно в начале 2024 года после эксплуатации уязвимости CVE-2023-36025 в Microsoft Windows Defender SmartScreen. Новый вредонос унаследовал основные функции Phemedrone, включая кражу паролей, файлов cookie и данных автозаполнения из браузеров, а также информации из криптовалютных кошельков.

В Check Point обнаружили, что Styx Stealer продается на сайте styxcrypter[.]com по подписке: $75 за месячную лицензию, $230 за три месяца и $350 за пожизненную подписку. Покупателям предлагают связаться с продавцом через Telegram-аккаунт @styxencode.

Во время отладки вредоносной программы Sty1x случайно загрузил архив с данными со своего компьютера в Telegram-бот, который использовался в кампании по распространению другого вредоноса — Agent Tesla. Этот архив содержал скриншот рабочего стола разработчика с открытым проектом Visual Studio под названием «PhemedroneStealer» и процессом отладки «Styx-Stealer.exe». На скриншоте также был виден файл Program.cs с жестко закодированным токеном Telegram-бота и ID чата, которые совпадали с данными, извлеченными из образца Agent Tesla.

Купи VPN в России за минуту через наш Телеграмм-бот:

Анализируя полученные данные, исследователи Check Point смогли установить, что создатель Styx Stealer использует два Telegram-аккаунта: @styxencode и @cobrasupports. Они также определили, что разработчик находится в Турции, отследив его перемещения по стране на основе данных о входе в аккаунты.

  Google усиливает защиту пользователей Chrome от случайных утечек данных

Дальнейшее расследование показало связь между создателем Styx Stealer и нигерийским киберпреступником с ником Fucosreal (также использующим псевдоним @Mack_Sant). Именно Fucosreal предоставил токен Telegram-бота, который использовал Sty1x при отладке своего ПО.

Check Point удалось восстановить цепочку событий: Sty1x добавил функцию отправки данных через Telegram и протестировал ее на своем собственном боте. Затем он убедил @Mack_Sant запустить ту же сборку стилера на его компьютере. После этого Sty1x вставил токен от бота @joemmBot, присланный @Mack_Sant, в программу.

Sty1x, вероятно, занимается и другой киберпреступной деятельностью. Аналитики нашли доказательства того, что он использовал открытый стилер Umbral и, возможно, был связан с одноименной группировкой.

За два месяца с 18 апреля 2024 года создатель Styx Stealer получил около $9,500 от продажи своего продукта. Check Point идентифицировала 54 клиента и 8 криптовалютных кошельков, предположительно принадлежащих Sty1x. Как показал технический анализ, Styx Stealer основан на более ранней версии Phemedrone Stealer, выпущенной до сентября 2023 года. Однако в него были добавлены новые функции, такие как мониторинг буфера обмена, криптоджекинг и автозапуск. Он включает дополнительные методы уклонения от обнаружения, включая проверку на наличие процессов, связанных с отладчиками и аналитическим ПО, а также обнаружение виртуальных машин и песочниц.

Станьте призраком в интернете

Узнайте как на нашем канале

Присоединяйтесь сейчас

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.
  Индия объявляет войну телефонным террористам

Добавить комментарий

Вернуться наверх