Компания Check Point Research (CPR) обнаружила новую вредоносную программу под названием Styx Stealer, которая способна похищать данные браузера, сеансы мгновенных сообщений Telegram и Discord, а также данные криптовалютных кошельков. Information Stealer распространяется по подписке и рекламируется как легитимный инструмент для защиты программного обеспечения.
Styx Stealer
По оценке CPR, Styx Stealer основан на исходном коде старой версии ранее открытого Phemedrone Stealer. Было установлено, что создатель Styx Stealer связан с одним из злоумышленников Agent Tesla, Fucosreal, который участвовал в спам-кампании с марта 2024 года, использовавшей API Telegram Bot для утечки данных. Во время отладки Styx Stealer злоумышленником была допущена ошибка, которая привела к утечке данных с его компьютера, раскрыв большое количество информации, включая количество клиентов, информацию о прибыли, никнеймы, номера телефонов и адреса электронной почты, а также аналогичные данные об актере, стоявшем за кампанией Agent Tesla.
Styx Stealer способен похищать сохраненные пароли, куки, данные автозаполнения браузеров, данные криптовалютных кошельков и сеансов обмена мгновенными сообщениями. Кроме того, он включает в себя такие расширенные возможности, как механизм сохранения, монитор буфера обмена и крипто-клиппер, дополнительные способы обхода песочницы и методы анти-анализа. Механизм персистенции позволяет крипто-клипперу работать непрерывно, что делает Styx Stealer способным красть криптовалюту во время транзакции, подменяя оригинальный адрес кошелька, сохраненный в буфере обмена, адресом кошелька злоумышленника.
Indicators of Compromise
SHA256
- 019b1767e76539b91fdb7f3feb76457f8ca509dec83bbb0ecddbe49139da25a3
- 088bc96742dd7eaab4563a1830b9ca74cc2fa7a933b1b89485ddfc09b18f1bae
- 9ea494b525c4676e63f943e2d1dba751c377b9138613003c80d14ddfaed6883e
