在运营安全 (OPSEC) 失误的情况下,一个名为 Styx Stealer 的新信息窃取器背后的操作员从他们自己的计算机泄露了数据,包括与客户、利润信息、昵称、电话号码和电子邮件地址有关的详细信息。
网络安全公司Check Point在一份分析中表示,Styx Stealer是Phemedrone Stealer的衍生产品,能够窃取浏览器数据,Telegram和Discord的即时通讯会话以及加密货币钱包信息。它于 2024 年 4 月首次出现。
该公司指出:“Styx Stealer 很可能基于旧版本 Phemedrone Stealer 的源代码,该版本缺少新版本中的一些功能,例如向 Telegram 发送报告、报告加密等。
“然而,Styx Stealer 的创建者添加了一些新功能:自动启动、剪贴板监视器和加密剪辑器、额外的沙盒规避和反分析技术,并重新实现了向 Telegram 发送数据。”
在专用网站(“styxcrypter[.]com“),该恶意软件的许可证要求潜在买家联系 Telegram 帐户 (@styxencode)。它与一个位于土耳其的威胁行为者有关,该行为者在网络犯罪论坛上以别名STY1X。
Check Point 表示,它能够发现 STY1X 与 2024 年 3 月的垃圾邮件活动之间的联系,该活动分发了针对中国、印度、菲律宾和阿联酋各个行业的 Agent Tesla 恶意软件。特工特斯拉的活动已经装扮成一个名叫Fucosreal的威胁行为者,他的大致位置在尼日利亚。
这是由于 STY1X 使用 Fucosreal 提供的 Telegram 机器人令牌在他们自己的机器上调试了窃取者,因此成为可能。这个致命的错误使网络安全公司能够识别多达 54 个客户和 8 个加密货币钱包,这些钱包可能属于 STY1X,据说这些钱包被用来接收付款。
Check Point 指出:“该活动因其使用 Telegram Bot API 进行数据泄露而引人注目,它利用了 Telegram 的基础设施而不是传统的命令和控制 (C&C) 服务器,后者更容易被发现和阻止。
“然而,这种方法有一个明显的缺陷:每个恶意软件样本都必须包含一个用于身份验证的机器人令牌。解密恶意软件以提取此令牌可以访问通过机器人发送的所有数据,从而暴露接收者帐户。
这一披露是在 Ailurophile、Banshee Stealer 和 QWERTY 等新的窃取恶意软件菌株出现之际发布的,尽管像 RedLine 这样的知名窃取者正被用于针对越南石油和天然气、工业、电气和 HVAC 制造商、油漆、化工和酒店行业的网络钓鱼攻击。
“RedLine是一个著名的窃取者,它针对登录凭据,信用卡详细信息,浏览器历史记录,甚至加密货币钱包,”博通旗下的赛门铁克说。“它被世界各地的多个团体和个人积极使用。”
“一旦安装,它就会从受害者的计算机收集数据,并将其发送到攻击者控制的远程服务器或Telegram频道。”
发表评论
您还未登录,请先登录。
登录