### Новый Вариант Вредоносного ПО Styx Stealer Угрожает Пользователям Windows
Сегодня Check Point Research опубликовала тревожный отчет, впервые представленный на Forbes, предупреждающий о мощной новой атаке от известного злоумышленника. Нацеленное на пользователей Windows, это новое «вредоносное» ПО крадет все, что может найти, включая куки браузера, учетные данные безопасности и мгновенные сообщения. Основное вредоносное ПО уже было замечено ранее, но его последняя версия значительно улучшена для опустошения криптокошельков.
### Обзор Угрозы
Вредоносное ПО является адаптацией Phemedrone Stealer, который привлек внимание в начале этого года. Используя уязвимость в Microsoft Windows Defender, программа выполняет скрипты на ПК без каких-либо предупреждений безопасности.
Microsoft устранила уязвимость CVE-2023-36025 в прошлом году, и пользователи могут защитить себя, обновив операционную систему. Однако с сотнями миллионов пользователей Windows 10, которые столкнутся с окончанием поддержки в октябре 2025 года, многие из которых не могут обновиться до Windows 11 или приобрести новое устройство, потенциал для эксплуатации значительно возрастает.
Check Point идентифицирует новый вариант вредоносного ПО, названный Styx Stealer, как связанный с одним из злоумышленников Agent Tesla, известным как Fucosreal. Agent Tesla — это троян удаленного доступа (RAT) для Windows, обычно предлагаемый как Malware-As-A-Service (MaaS). После компрометации ПК он открывает дверь для установки более опасного ПО, часто приводящего к атакам с использованием вымогательского ПО.
### Доступность и Функциональность
Styx Stealer доступен для аренды по цене $ per month, с пожизненной лицензией за 0. Check Point отмечает, что «сайт, продающий Styx Stealer, все еще активен, и любой может его приобрести». Создатель Styx Stealer остается активным на Telegram, отвечая на запросы и работая над вторым продуктом — Styx Crypter, предназначенным для обхода антивирусной защиты. Таким образом, Styx Stealer продолжает представлять значительную угрозу для пользователей по всему миру.
Хотя Styx Stealer использует уязвимость Windows для заражения систем, он также эксплуатирует другие слабые места безопасности, включая кражу сессионных куки. Google Chrome является основной целью таких краж из-за своей широкой пользовательской базы. В ответ Google внедряет меры по привязке сессионных куки к конкретным идентификаторам устройств, эффективно устраняя уязвимость. Кроме того, Google шифрует и связывает данные куки с конкретными приложениями, снижая риск несанкционированного доступа через вредоносные логины.
Однако угроза не ограничивается Chrome. Check Point указывает, что Styx Stealer нацелен на все браузеры на основе Chromium, включая Edge, Opera и Yandex, а также на альтернативы на основе Gecko, такие как Firefox, Tor Browser и SeaMonkey.
### Инновационные Техники Кражи Криптовалют
Новые элементы в этом вредоносном ПО улучшают его возможности по краже криптовалют. Check Point объясняет: «Кража криптовалют через крипто-клиппинг — это новая функциональность, отсутствующая в Phemedrone Stealer, которая работает автономно без командного и контрольного сервера во время установки вредоносного ПО на машину жертвы». Это позволяет Styx Stealer незаметно выводить криптовалюту в фоновом режиме.
Styx Stealer непрерывно отслеживает буфер обмена с настраиваемыми интервалами (по умолчанию две миллисекунды). Если он обнаруживает изменение, он запускает функцию крипто-клиппера, которая крадет криптовалюту во время транзакций путем замены оригинального адреса кошелька на адрес злоумышленника. Крипто-клиппер оснащен девятью регулярными выражениями для адресов различных блокчейнов, включая BTC, ETH и XMR.
В стремлении к скрытности вредоносное ПО использует дополнительные защиты для обеспечения своей работы. Если крипто-клиппер активирован, Styx Stealer внедряет анти-отладочные и аналитические техники.
