Styx Stealer

サイバーセキュリティ研究者は、既知の脅威アクターによる、新たに発見された非常に強力な攻撃について報告しました。Windows ユーザーをターゲットとするこのマルウェアは、ブラウザーの Cookie、セキュリティ認証情報、インスタント メッセージなど、さまざまなデータを盗むように設計されています。コアとなるマルウェアは以前にも確認されていますが、この最新バージョンは、暗号通貨ウォレットをより効果的に流出させるようにアップグレードされています。

このマルウェアは、今年初めに注目された Phemedrone Stealer の進化版です。Microsoft Windows Defender の脆弱性を悪用し、セキュリティ警告をトリガーせずに影響を受ける PC 上でスクリプトを実行できます。

Styx Stealer と呼ばれるこの新しい亜種は、 Agent Teslaと関係のある Fucosreal 脅威アクターと関連があると報じられています。Agent Tesla は Windows リモート アクセス トロイの木馬 (RAT) で、Malware-as-a-Service (MaaS) として販売されることが多いものです。PC が感染すると、さらに有害なソフトウェアがインストールされ、ランサムウェア攻撃につながる可能性があります。

Styx Stealer は月額 75 ドルでレンタル可能で、永久ライセンスは 350 ドルです。このマルウェアは今でもオンラインで活発に販売されており、誰でも購入できます。Styx Stealer の作成者は Telegram で活動していると考えられており、メッセージに返信したり、マルウェア対策の検出を回避するのに役立つ別の製品 Styx Crypter を開発したりしています。その結果、Styx Stealer は世界中のユーザーにとって依然として大きな脅威となっています。

このマルウェアは Chrome だけを標的にしているのではなく、Edge、Opera、Yandex などのすべての Chromium ベースのブラウザ、および Firefox、Tor Browser、SeaMonkey などの Gecko ベースのブラウザも侵害します。

Styx Stealer の最新バージョンでは、暗号通貨を収集するための新しい機能が導入されています。前身の Phemedrone Stealer とは異なり、このバージョンには、コマンド アンド コントロール (C2) サーバーを必要とせずに自律的に動作する暗号クリッピング機能が含まれています。同時に、マルウェアは被害者のマシンにインストールされます。

これらの機能強化により、マルウェアはバックグラウンドで暗号通貨を密かに盗む能力が高まります。通常、2 ミリ秒間隔でクリップボードを連続ループで監視します。クリップボードの内容が変更されると、クリプト クリッパー機能がアクティブになり、元のウォレット アドレスが攻撃者のアドレスに置き換えられます。クリプト クリッパーは、BTC、ETH、XMR、XLM、XRP、LTC、NEC、BCH、DASH など、さまざまなブロックチェーンのウォレット アドレスの 9 つの異なる正規表現パターンを認識できます。

Styx Stealer は、その動作を保護するために、クリプトクリッパーが有効になっているときに追加の防御策を採用します。これには、アンチデバッグおよびアンチ分析技術が含まれ、スティーラーの起動時に 1 回だけチェックが実行されます。マルウェアには、デバッグおよび分析ツールに関連するプロセスの詳細なリストが含まれており、検出された場合はそれらを終了します。

捜査官らは、認証情報、Telegram チャット、マルウェア販売、連絡先情報が収集された標的の業界や地域も特定した。攻撃はトルコ、スペイン、ナイジェリアの拠点にまでさかのぼり、ナイジェリアは Fucosreal の拠点となっている。ただし、オンライン ID の一部は追跡されているものの、どの場所が脅威アクターと直接結びついているかは不明である。

情報セキュリティの専門家は、特に PC で暗号通貨を保有または取引する人にとって、Windows システムを最新の状態に保つことの重要性を強調しています。この新しいマルウェアは通常、電子メールやメッセージの添付ファイルや安全でないリンクを通じて拡散するため、PC ユーザーは警戒を怠らず、疑わしいコンテンツをクリックしないようにする必要があります。

トレンド

最も見られました

読み込んでいます...