Styx Stealer

Cybersicherheitsforscher haben über einen neu entdeckten, hochwirksamen Angriff eines bekannten Bedrohungsakteurs berichtet. Diese Malware, die auf Windows-Benutzer abzielt, ist darauf ausgelegt, eine Vielzahl von Daten zu stehlen, darunter Browser-Cookies, Sicherheitsanmeldeinformationen und Instant Messages. Während die Kern-Malware bereits zuvor aufgetaucht ist, wurde diese neueste Version aktualisiert, um Kryptowährungs-Wallets effektiver zu leeren.

Bei der Malware handelt es sich um eine weiterentwickelte Version des Phemedrone Stealer, der Anfang des Jahres für Aufsehen sorgte. Sie nutzt eine Schwachstelle in Microsoft Windows Defender aus und kann so Skripte auf betroffenen PCs ausführen, ohne Sicherheitswarnungen auszulösen.

Die neue Variante, Styx Stealer genannt, ist Berichten zufolge mit dem Bedrohungsakteur Fucosreal verbunden, der mit Agent Tesla in Verbindung steht – einem Windows Remote Access Trojan (RAT), der oft als Malware-as-a-Service (MaaS) verkauft wird. Sobald ein PC infiziert ist, kann weitere schädliche Software installiert werden, was möglicherweise zu Ransomware-Angriffen führt.

Der Styx Stealer kann für 75 Dollar pro Monat gemietet werden, eine lebenslange Lizenz kostet 350 Dollar. Die Malware wird weiterhin aktiv online verkauft und kann von jedem gekauft werden. Der Ersteller des Styx Stealer ist vermutlich auf Telegram aktiv, antwortet auf Nachrichten und entwickelt ein weiteres Produkt, Styx Crypter, das dabei hilft, der Erkennung durch Anti-Malware zu entgehen. Daher bleibt Styx Stealer eine erhebliche Bedrohung für Benutzer weltweit.

Die Malware zielt nicht nur auf Chrome ab; sie befällt auch alle Chromium-basierten Browser wie Edge, Opera und Yandex sowie Gecko-basierte Browser wie Firefox, Tor Browser und SeaMonkey.

Die neueste Version von Styx Stealer führt neue Funktionen zum Sammeln von Kryptowährungen ein. Im Gegensatz zu seinem Vorgänger Phemedrone Stealer enthält diese Version eine Krypto-Clipping-Funktion, die autonom arbeitet und keinen Command-and-Control-Server (C2) benötigt. Gleichzeitig wird die Malware auf dem Computer des Opfers installiert.

Diese Verbesserungen machen die Malware effektiver beim heimlichen Stehlen von Kryptowährungen im Hintergrund. Sie überwacht die Zwischenablage in einer Endlosschleife, normalerweise in Intervallen von zwei Millisekunden. Wenn sich der Inhalt der Zwischenablage ändert, wird die Krypto-Clipper-Funktion aktiviert und ersetzt die ursprüngliche Wallet-Adresse durch die Adresse des Angreifers. Der Krypto-Clipper kann 9 verschiedene Regex-Muster für Wallet-Adressen in verschiedenen Blockchains erkennen, darunter BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH und DASH.

Um seinen Betrieb zu sichern, verwendet der Styx Stealer zusätzliche Abwehrmaßnahmen, wenn der Krypto-Clipper aktiviert ist. Dazu gehören Anti-Debugging- und Anti-Analyse-Techniken, wobei die Prüfungen nur einmal beim Start des Stealers durchgeführt werden. Die Malware enthält eine detaillierte Liste der Prozesse, die mit Debugging- und Analysetools verbunden sind, und beendet diese, wenn sie erkannt werden.

Die Ermittler identifizierten auch Zielbranchen und -regionen, in denen Anmeldeinformationen, Telegram-Chats, Malware-Verkäufe und Kontaktinformationen gesammelt wurden. Die Angriffe wurden auf Standorte in der Türkei, Spanien und Nigeria zurückverfolgt – letzteres ist der Sitz von Fucosreal. Es bleibt jedoch unklar, welche Standorte direkt mit dem Bedrohungsakteur in Verbindung stehen, obwohl einige Online-Identitäten verfolgt wurden.

Informationssicherheitsexperten betonen, wie wichtig es ist, Windows-Systeme auf dem neuesten Stand zu halten, insbesondere für diejenigen, die auf ihren PCs Kryptowährungen halten oder damit handeln. Diese neue Malware wird normalerweise über Anhänge in E-Mails und Nachrichten sowie unsichere Links verbreitet. PC-Benutzer sollten daher wachsam bleiben und es vermeiden, auf verdächtige Inhalte zu klicken.

Im Trend

Am häufigsten gesehen

Wird geladen...