Styx Stealer
Los investigadores de ciberseguridad han informado sobre un ataque de gran potencia recientemente descubierto por un conocido actor de amenazas. Este malware, que tiene como objetivo a los usuarios de Windows, está diseñado para robar una amplia gama de datos, incluidas cookies del navegador, credenciales de seguridad y mensajes instantáneos. Si bien el malware principal ya se había visto antes, esta última versión se ha actualizado para vaciar las billeteras de criptomonedas de manera más efectiva.
El malware es una versión evolucionada de Phemedrone Stealer, que ganó atención a principios de este año. Aprovecha una vulnerabilidad en Microsoft Windows Defender, lo que le permite ejecutar scripts en las PC afectadas sin activar alertas de seguridad.
Según se informa, la nueva variante, denominada Styx Stealer, está vinculada al actor de amenazas Fucosreal, que está asociado con Agent Tesla , un troyano de acceso remoto (RAT) de Windows que a menudo se vende como malware como servicio (MaaS). Una vez que una PC está infectada, se puede instalar más software dañino, lo que puede provocar ataques de ransomware.
Styx Stealer está disponible para alquilar por 75 dólares al mes, con una licencia de por vida que cuesta 350 dólares. El malware todavía se vende activamente en línea y cualquiera puede comprarlo. Se cree que el creador de Styx Stealer está activo en Telegram, responde mensajes y desarrolla otro producto, Styx Crypter, que ayuda a evadir la detección de antimalware. Como resultado, Styx Stealer sigue siendo una amenaza importante para los usuarios de todo el mundo.
El malware no solo afecta a Chrome; también compromete todos los navegadores basados en Chromium, como Edge, Opera y Yandex, así como los navegadores basados en Gecko como Firefox, Tor Browser y SeaMonkey.
La última versión de Styx Stealer presenta nuevas funciones para recolectar criptomonedas. A diferencia de su predecesor, Phemedrone Stealer, esta versión incluye una función de recolección de criptomonedas que funciona de forma autónoma sin necesidad de un servidor de Comando y Control (C2). Al mismo tiempo, el malware se instala en la máquina de la víctima.
Estas mejoras hacen que el malware sea más eficaz a la hora de robar criptomonedas de forma silenciosa en segundo plano. Monitorea el portapapeles en un bucle continuo, normalmente a intervalos de dos milisegundos. Cuando el contenido del portapapeles cambia, se activa la función crypto-clipper, que reemplaza la dirección de la billetera original por la dirección del atacante. El crypto-clipper puede reconocer 9 patrones de expresiones regulares diferentes para direcciones de billetera en varias cadenas de bloques, incluidas BTC, ETH, XMR, XLM, XRP, LTC, NEC, BCH y DASH.
Para proteger su funcionamiento, el Styx Stealer emplea defensas adicionales cuando el crypto-clipper está habilitado. Estas incluyen técnicas anti-depuración y anti-análisis, con comprobaciones realizadas solo una vez cuando se inicia el ladrón. El malware incluye una lista detallada de procesos asociados con herramientas de depuración y análisis y los termina si se detectan.
Los investigadores también identificaron sectores y regiones específicos donde se obtuvieron credenciales, chats de Telegram, ventas de malware e información de contacto. Los ataques se rastrearon hasta ubicaciones en Turquía, España y Nigeria (esta última es la base de Fucosreal). Sin embargo, no está claro qué ubicaciones están directamente vinculadas al actor de la amenaza, aunque se han rastreado algunas identidades en línea.
Los expertos en seguridad informática destacan la importancia de mantener actualizados los sistemas Windows, en particular para quienes poseen o comercian con criptomonedas en sus PC. Este nuevo malware se propaga normalmente a través de archivos adjuntos en correos electrónicos y mensajes y enlaces no seguros, por lo que los usuarios de PC deben permanecer atentos y evitar hacer clic en contenido sospechoso.