بدافزار استخراج ارزدیجیتال Styx Stealer رایانه‌های ویندوزی را هدف قرار می‌دهد

شرکت امنیت سایبری Check Point Research در ماه آوریل برای اولین بار بدافزاری به نام Styx را به عنوان نسخه‌ای قوی‌تر از Phemodrone Stealer شناسایی کرد. این بدافزار از یک آسیب‌پذیری در ویندوز که اکنون اصلاح شده است، سوءاستفاده کرده و تراکنش‌های ارز دیجیتال را ربوده و اطلاعات حساسی مانند کلیدهای خصوصی، کوکی‌های مرورگر و حتی داده‌های تکمیل خودکار مرورگرها را از سیستم‌های آلوده سرقت می‌کند.

Phemodrone که اولین بار در اوایل سال 2024 معرفی شد، بر روی مرورگرهای وب تمرکز داشت و هدف آن سرقت ارز دیجیتال از کیف پول‌ها و دیگر اطلاعات مرتبط بود. برخلاف Styx Stealer که ویژگی‌های جدیدتری دارد، Phemodrone به سرقت ارز دیجیتال از طریق مرورگرها بسنده می‌کرد.

هر دو بدافزار از یک حفره امنیتی در Windows Defender، آنتی‌ویروس بومی سیستم‌عامل ویندوز، سوءاستفاده می‌کنند. این آسیب‌پذیری در ویژگی SmartScreen وجود داشت که برای هشدار به کاربران درباره وب‌سایت‌ها و دانلودهای بالقوه خطرناک طراحی شده است.

با این حال، Styx تهدیدهای جدیدی را با اضافه کردن مکانیزم “crypto-clipping” ایجاد کرده است. این بدافزار محتوای کلیپ‌بورد را برای تغییرات رصد کرده و سپس آدرس‌های کیف پول‌های ارز دیجیتال کپی شده را با آدرس‌های متعلق به مهاجم جایگزین می‌کند.

پیش‌تر، بات‌نت Phorpiex از این تکنیک برای ربودن تراکنش‌های ارز دیجیتال استفاده کرده بود. مرورگرهای مبتنی بر Chromium و Gecko، داده‌های افزونه‌های مرورگر، تلگرام و دیسکورد به خصوص در برابر این بدافزار آسیب‌پذیر هستند.

سازنده این بدافزار امکاناتی مانند ویژگی autorun و یک رابط گرافیکی کاربرپسند را در آن قرار داده که سفارشی‌سازی و استفاده از آن را برای مجرمان سایبری آسان‌تر می‌کند. Styx همچنین به تکنیک‌هایی برای پنهان‌سازی عملیات خود مجهز است. توزیع و فروش این بدافزار به صورت دستی از طریق حساب تلگرام @styxencode و وب‌سایت styxcrypter.com مدیریت می‌شود. CPR همچنین تبلیغاتی و ویدیوهای یوتیوبی را کشف کرده است که این نرم‌افزار مخرب را ترویج می‌کنند.

حداقل 54 نفر حدود 9500 دلار به توسعه‌دهنده Styx از طریق ارزهای دیجیتالی مانند بیت‌کوین و لایت‌کوین پرداخت کرده‌اند. برخلاف نسخه‌های قبلی که رایگان بودند، این بدافزار با مجوز ماهیانه 75 دلار، سه ماهه 230 دلار و دسترسی دائمی 350 دلار ارائه می‌شود.

میزان ارزهای دیجیتالی سرقت شده یا گستره سیستم‌های آلوده با استفاده از Styx هنوز نامشخص است.

بدافزارهای سرقت‌کننده ارز دیجیتال همچنین در سیستم‌عامل MacOS اپل نیز یافت شده‌اند. به گفته توسعه‌دهنده آنتی‌ویروس Kaspersky، این بدافزار نرم‌افزارهای کیف پول بیت‌کوین و Exodus را هدف قرار داده و نسخه‌ای تغییر یافته از آن‌ها را جایگزین نسخه اصلی کرده است.

با گسترش بخش ارز دیجیتال، هک‌ها و سرقت‌ها بسیار سودآور شده‌اند و سالانه میلیون‌ها دلار از این طریق از دست می‌رود. با این حال، برخی از بازیگران بدنام تهدیدات سایبری تصمیم گرفته‌اند که فعالیت‌های خود را متوقف کنند. ماه گذشته، Angel Drainer، یک بدافزار drainer-as-a-service که مسئول بیش از 25 میلیون دلار سرقت بود، فعالیت‌های خود را متوقف کرد. در ماه نوامبر نیز سرویس کلاهبرداری چند زنجیره‌ای Inferno Drainer عملیات خود را متوقف کرد.

منبع : crypto.news