Styx Stealer

Des chercheurs en cybersécurité ont signalé une nouvelle attaque très puissante provenant d'un acteur connu de la menace. Ce malware, qui cible les utilisateurs de Windows, est conçu pour voler un large éventail de données, notamment les cookies de navigateur, les identifiants de sécurité et les messages instantanés. Bien que le malware principal ait déjà été vu auparavant, cette dernière version a été mise à niveau pour vider plus efficacement les portefeuilles de cryptomonnaies.

Ce malware est une version évoluée de Phemedrone Stealer, qui a attiré l'attention plus tôt cette année. Il exploite une vulnérabilité de Microsoft Windows Defender, ce qui lui permet d'exécuter des scripts sur les ordinateurs affectés sans déclencher d'alertes de sécurité.

La nouvelle variante, baptisée Styx Stealer, serait liée à l'acteur malveillant Fucosreal, qui est associé à Agent Tesla , un cheval de Troie d'accès à distance Windows (RAT) souvent vendu sous le nom de Malware-as-a-Service (MaaS). Une fois qu'un PC est infecté, des logiciels plus dangereux peuvent être installés, ce qui peut conduire à des attaques de ransomware.

Le Styx Stealer est disponible à la location pour 75 $ par mois, avec une licence à vie au prix de 350 $. Le malware est toujours activement vendu en ligne et n'importe qui peut l'acheter. Le créateur du Styx Stealer serait actif sur Telegram, répondant aux messages et développant un autre produit, Styx Crypter, qui permet d'échapper à la détection des logiciels malveillants. Par conséquent, Styx Stealer reste une menace importante pour les utilisateurs du monde entier.

Le malware ne cible pas seulement Chrome ; il compromet également tous les navigateurs basés sur Chromium, tels que Edge, Opera et Yandex, ainsi que les navigateurs basés sur Gecko comme Firefox, Tor Browser et SeaMonkey.

La dernière version de Styx Stealer introduit de nouvelles fonctionnalités pour la récolte de cryptomonnaies. Contrairement à son prédécesseur, Phemedrone Stealer, cette version inclut une fonction de crypto-clipping qui fonctionne de manière autonome sans avoir besoin d'un serveur Command-and-Control (C2). Dans le même temps, le malware est installé sur la machine de la victime.

Ces améliorations rendent le malware plus efficace pour voler silencieusement des cryptomonnaies en arrière-plan. Il surveille le presse-papiers dans une boucle continue, généralement à des intervalles de deux millisecondes. Lorsque le contenu du presse-papiers change, la fonction crypto-clipper s'active, remplaçant l'adresse du portefeuille d'origine par l'adresse de l'attaquant. Le crypto-clipper peut reconnaître 9 modèles regex différents pour les adresses de portefeuille sur différentes blockchains, notamment BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH et DASH.

Pour protéger son fonctionnement, Styx Stealer utilise des défenses supplémentaires lorsque le crypto-clipper est activé. Il s'agit notamment de techniques anti-débogage et anti-analyse, avec des contrôles effectués une seule fois au lancement du voleur. Le malware inclut une liste détaillée des processus associés aux outils de débogage et d'analyse et les arrête s'il est détecté.

Les enquêteurs ont également identifié des secteurs et des régions ciblés où des identifiants, des conversations Telegram, des ventes de logiciels malveillants et des informations de contact ont été collectés. Les attaques ont été localisées en Turquie, en Espagne et au Nigéria, ce dernier étant le siège de Fucosreal. Cependant, on ne sait pas exactement quels endroits sont directement liés à l'acteur de la menace, bien que certaines identités en ligne aient été suivies.

Les experts en sécurité informatique soulignent l'importance de maintenir les systèmes Windows à jour, en particulier pour ceux qui détiennent ou échangent des cryptomonnaies sur leurs PC. Ce nouveau malware se propage généralement via des pièces jointes dans des e-mails et des messages et des liens non sécurisés. Les utilisateurs de PC doivent donc rester vigilants et éviter de cliquer sur des contenus suspects.

Tendance

Le plus regardé

Chargement...