Table of Contents
Check Point Research (CPR) pētnieki ir atklājuši jaunu ļaunprogrammatūru ar nosaukumu Styx Stealer. Šis vīruss specializējas dažādu lietotāju datu, tostarp kriptovalūtu maku adrešu un paroļu, pārlūkprogrammas datu, kā arī Telegram un Discord ziņapmaiņas sesiju, zādzībā.
CPR datoru drošības speciālisti ir ziņojuši par vīrusu Styx Stealer, kas nozog lielu daudzumu lietotāju datu. Tas teikts 2024. gada augusta beigās uzņēmuma tīmekļa vietnē publicētajā ziņojumā.
Styx Stealer izmanto ievainojamību iebūvētajā antivīrusā Windows Defender. Tomēr vulnerability tika novērsta jau pagājušajā gadā, tāpēc lietotāji, kas savlaicīgi atjaunina savu operētājsistēmu (OS), ir droši.
Styx Stealer tika atklāts nejauši – viens no CPR izstrādātājiem pamanīja atmiņas noplūdi, meklējot kļūdas savā programmatūrā. Vīrusa Styx Stealer pamatā ir vecāka kropļprogrammatūra ar nosaukumu Phemedrone Stealer, kas no upuru lietotājiem nozog dažādus datus, tostarp paroles, kriptovalūtas maka datus, HTTP sīkdatnes no tīmekļa vietnēm no dažādām pārlūkprogrammām, kuru pamatā ir Chromium un Gecko, kā arī datus no browser extensions. Ļaundabīgā programmatūra spēj viltot kriptovalūtas saņēmēja adresi, parakstot darījumu, lai līdzekļi nonāktu hakeru makā. vīruss Styx Stealer izmanto dažādus trikus, lai slēptos no dažādiem pretvīrusiem.
Vīruss Styx Stealer ievāc sistēmas informāciju, tostarp aparatūras datus un ārējo IP adresi, un var veikt ekrānšāviņus, lai labāk izprastu vidi pirms ļaunprogrammatūras palaišanas. Visas šīs pamatfunkcijas ir mantotas no Phemedrone Stealer.
Saskaņā ar CPR datiem vīrusa Styx Stealer pamatā ir vecākas Phemedrone Stealer versijas avota kods, kurā nav dažu jaunākajās versijās esošo funkciju, piemēram, ziņojumu nosūtīšana uz Telegram, ziņojumu šifrēšana un citas. Tomēr hakeris pievienoja vairākas jaunas funkcijas: autorun, starpliktuves monitoru un kriptogrāfisko klipētāju, papildu smilšu kastes apiešanas un anti-analīzes metodes, kā arī atkārtoti ieviesa datu sūtīšanu uz Telegram.
Kā norāda pētnieki, lai gan oriģinālais Phemedrone Stealer ir pilnīgi bezmaksas, Styx Stealer tiek izplatīts pēc abonēšanas principa – 75 ASV dolāri par mēneša licenci, 230 ASV dolāri par trīs mēnešiem un 350 ASV dolāri par mūža abonementu. Pirmajos divos Styx Stealer pārdošanas mēnešos tā izstrādātājs saņēma aptuveni 9500 ASV dolāru par astoņiem makiem. Vietnē nav tiešas pirkšanas iespējas. Šī ziņojuma sagatavošanas brīdī potenciālajiem pircējiem jāsazinās ar pārdevēju, izmantojot Telegram kontu @styxencode. CPR informācijas drošības (IS) speciālisti apgalvo, ka viņiem izdevies identificēt izstrādātāja Telegram, viņa telefona numuru un kontaktus.
Styx Stealer gadījums ir pārliecinošs piemērs tam, ka pat sarežģītas kibernoziegumu operācijas var izjaukt vienkāršas drošības nepilnības.
Vīrusa Styx Stealer izstrādātājs atklāja savus personas datus, tostarp Telegram kontus, pasta adreses un kontaktus, atkļūstot zaglim savā datorā, izmantojot botu Telegram token. Šī hakera kritiskā kļūda ne tikai apdraudēja viņa anonimitāti, bet arī sniedza vērtīgu informāciju par citiem kibernoziedzniekiem, tostarp vīrusa Agent Tesla radītāju.
Tomēr kibernoziedznieka mēģinājums izplatīt Styx Stealer vīrusu Fucosreal cieta neveiksmi. Starp “upuriem” bija dažādas sandBox un virtuālās mašīnas, un tikai divas reālas sistēmas – datori, ko izmantoja Fucosreal un Sty1x.
Naktī uz 19. augustu Telegram lietotāji sūdzējās par plaša mēroga lietojumprogrammas darbības traucējumiem. Saskaņā ar pakalpojuma “Failure.rf” datiem par problēmu vienlaicīgi ziņoja vairāk nekā 800 cilvēku. Lielākā daļa (77%) ir no Maskavas, vēl 7% no Sanktpēterburgas un 2% no Jaroslavļas. Problēmas vērojamas arī ar citu ziņojumapmaiņas pakalpojumu – WhatsApp un Viber – darbību.
Saskaņā ar Sabiedrisko sakaru tīkla pārraudzības un pārvaldības centra (CMU SSN) datiem sūdzības saņemtas no galvaspilsētas reģiona, Vladikaukāza, Permi un Ivanovas. Lielākā daļa ziņojumu par darbības traucējumiem nāca no Maskavas iedzīvotājiem. Par problēmām ziņo gan lietotāji no Krievijas (Sanktpēterburga, Maskava), gan no citām valstīm: Finlande, Turcija, Holande.
Kā pārliecinājās korespondents no RBC, problēmas rodas, ja Telegram ir uz tālruņa, bet, ja ir ieslēgts VPN, pakalpojums darbojas pareizi. Šī nav pirmā reize, kad Messenger Telegram ir piedzīvojusi liela mēroga traucējumus.
Ja esat atklājis pareizrakstības kļūdu, lūdzu, paziņojiet mums, izvēloties šo tekstu un nospiežot Ctrl+Enter.