**Check Point Research выявил новый вариант вредоносного ПО Styx Stealer**
Check Point Research (CPR) недавно выявил новый вариант вредоносного ПО под названием Styx Stealer, который демонстрирует удивительную способность извлекать конфиденциальную информацию у пользователей. Это вредоносное ПО предназначено для кражи данных браузера, сеансов обмена мгновенными сообщениями на платформах, таких как Telegram и Discord, а также криптовалютных активов. Несмотря на свое недавнее появление, Styx Stealer уже был замешан в различных атаках, включая те, которые были направлены на клиентов CPR.
Интересно, что разработчик Styx Stealer связан с Fucosreal, известным злоумышленником, ассоциированным с вредоносным ПО Agent Tesla. Эта связь была обнаружена во время спам-кампании, также нацеленной на клиентов CPR. Значительная ошибка в операционной безопасности разработчика Styx Stealer привела к случайной утечке конфиденциальных данных с его компьютера, предоставив CPR критическую информацию, включая данные клиентов, маржу прибыли и личные идентификаторы.
**Обзор Styx Stealer**
Styx Stealer — это сложный вариант вредоносного ПО, унаследовавший многие функции от своего предшественника Phemedrone Stealer. Он способен извлекать сохраненные пароли, куки и автозаполнение данных из различных веб-браузеров, а также информацию из расширений браузера и криптовалютных кошельков. Кроме того, он может захватывать данные сеансов Telegram и Discord, собирать системную информацию и даже делать скриншоты для анализа своей среды перед выполнением вредоносных операций.
Хотя Styx Stealer основан на более старой версии Phemedrone Stealer, он включает новые функции, такие как автостарт, мониторинг буфера обмена и улучшенные методы уклонения. Вредоносное ПО продается по подписочной модели, с ценами от $50 за месячную лицензию до $300 за пожизненную подписку. Заинтересованные покупатели должны связаться с продавцом через Telegram для оформления покупки.
**Ошибки в операционной безопасности**
Расследование Styx Stealer выявило значительную ошибку в операционной безопасности его создателя. Во время отладки разработчик случайно утек важные данные, включая токен бота Telegram, связанный с кампанией Agent Tesla. Эта ошибка позволила CPR отследить разработку вредоносного ПО до его создателя, известного как Sty1x, который активен в киберпреступном сообществе как минимум с апреля 2024 года.
В марте 2024 года была выявлена спам-кампания, распространяющая вредоносный TAR-архив, содержащий вредоносное ПО Agent Tesla. Эта кампания была направлена в основном на представителей различных отраслей, включая алмазную и металлургическую промышленности, в нескольких странах. Связь между Sty1x и кампанией Agent Tesla была дополнительно подтверждена, когда было обнаружено, что бот Telegram для эксфильтрации данных был создан Fucosreal.
**Финансовые инсайты**
Благодаря тщательному анализу CPR выявил 54 клиента, которые приобрели продукты Styx Stealer и Styx Crypter. Платежи принимались в различных криптовалютах, включая Bitcoin и Monero, с общей выручкой около $6,500 за двухмесячный период. Этот финансовый инсайт подчеркивает прибыльность таких киберпреступных предприятий, несмотря на присущие им риски.
**Технические особенности Styx Stealer**
Технические возможности Styx Stealer обширны и включают функции:
— Извлечение куки-файлов, сохраненных паролей и информации о кредитных картах из веб-браузеров.
— Кража данных из популярных криптовалютных кошельков.
— Сбор системной информации и данных о местоположении пользователя.
— Мониторинг содержимого буфера обмена для криптовалютных транзакций.
Кроме того, Styx Stealer использует различные методы уклонения от обнаружения, включая проверки на наличие инструментов отладки и виртуальных машин. Эти меры подчеркивают сложность вредоносного ПО и продолжающиеся вызовы в области кибербезопасности.
**Заключение**
Недавнее открытие Check Point Research подчеркивает растущую угрозу со стороны сложных вредоносных программ, таких как Styx Stealer. Важно продолжать развивать методы защиты и оперативно реагировать на новые угрозы в сфере кибербезопасности.
