Em um caso que demonstra uma falha de segurança operacional (OPSEC), o operador por trás de um novo stealer de informações chamado Styx Stealer vazou dados de seu próprio computador, incluindo detalhes relacionados aos clientes, informações de lucro, apelidos, números de telefone e endereços de e-mail.
O Styx Stealer, derivado do Phemedrone Stealer, é capaz de roubar dados de navegadores, sessões de mensageiros instantâneos como Telegram e Discord, além de informações de carteiras de criptomoedas, conforme análise da empresa de cibersegurança Check Point.
Ele surgiu pela primeira vez em abril de 2024.
"O Styx Stealer provavelmente é baseado no código-fonte de uma versão antiga do Phemedrone Stealer, que não possui algumas funcionalidades encontradas em versões mais recentes, como enviar relatórios para o Telegram, criptografia de relatórios e mais", observou a empresa.
Contudo, o criador do Styx Stealer adicionou algumas novas funcionalidades: auto-start, monitoramento de área de transferência e crypto-clipper, técnicas adicionais de evasão de sandbox e anti-análise, e reimplementou o envio de dados para o Telegram.
Anunciado por $75 por mês (ou $230 por três meses ou $350 para uma assinatura vitalícia) em um site dedicado ("styxcrypter[.]com"), licenças para o malware requerem que compradores em potencial entrem em contato através de uma conta no Telegram (@styxencode).
Ele está vinculado a um ator de ameaças baseado na Turquia que usa o pseudônimo STY1X em fóruns de cibercrime.
A Check Point disse que conseguiu encontrar conexões entre STY1X e uma campanha de spam de março de 2024 distribuindo o malware Agent Tesla que mirou vários setores na China, Índia, Filipinas e E.A.U.
A atividade do Agent Tesla foi atribuída a um ator de ameaças chamado Fucosreal, cuja localização aproximada está na Nigéria.
Isso foi possível devido ao fato de que STY1X depurou o stealer em sua própria máquina usando um token de bot do Telegram fornecido por Fucosreal.
Esse erro fatal permitiu à empresa de cibersegurança identificar até 54 clientes e 8 carteiras de criptomoedas, que supostamente pertencem a STY1X, que se diz terem sido usadas para receber os pagamentos.
"Esta campanha foi notável pelo uso da API do Bot Telegram para exfiltração de dados, aproveitando a infraestrutura do Telegram em vez de servidores tradicionais de comando e controle (C&C), que são mais facilmente detectáveis e bloqueáveis", observou a Check Point.
Contudo, este método tem uma falha significativa: cada amostra de malware deve conter um token de bot para autenticação.
Decifrar o malware para extrair esse token fornece acesso a todos os dados enviados via bot, expondo a conta do destinatário.
A revelação vem em meio à emergência de novas linhagens de malware stealer como Ailurophile, Banshee Stealer e QWERTY, mesmo enquanto stealers bem conhecidos como o RedLine estão sendo usados em ataques de phishing visando as indústrias de petróleo e gás, industriais, elétricas e de HVAC, além de fabricantes de tintas, químicos e o setor hoteleiro vietnamitas.
"O RedLine é um stealer bem conhecido que mira credenciais de login, detalhes de cartões de crédito, histórico de navegador e até carteiras de criptomoedas", disse a Symantec, pertencente à Broadcom.
Ele é ativamente usado por vários grupos e indivíduos ao redor do mundo.
Uma vez instalado, ele coleta dados do computador da vítima e os envia para um servidor remoto ou canal do Telegram controlado pelos atacantes.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...