بدافزار استخراج ارزدیجیتال Styx Stealer رایانههای ویندوزی را هدف قرار میدهد
شرکت امنیت سایبری Check Point Research در ماه آوریل برای اولین بار بدافزاری به نام Styx را به عنوان نسخهای قویتر از Phemodrone Stealer شناسایی کرد. این بدافزار از یک آسیبپذیری در ویندوز که اکنون اصلاح شده است، سوءاستفاده کرده و تراکنشهای ارز دیجیتال را ربوده و اطلاعات حساسی مانند کلیدهای خصوصی، کوکیهای مرورگر و حتی دادههای تکمیل خودکار مرورگرها را از سیستمهای آلوده سرقت میکند.
Phemodrone که اولین بار در اوایل سال 2024 معرفی شد، بر روی مرورگرهای وب تمرکز داشت و هدف آن سرقت ارز دیجیتال از کیف پولها و دیگر اطلاعات مرتبط بود. برخلاف Styx Stealer که ویژگیهای جدیدتری دارد، Phemodrone به سرقت ارز دیجیتال از طریق مرورگرها بسنده میکرد.
هر دو بدافزار از یک حفره امنیتی در Windows Defender، آنتیویروس بومی سیستمعامل ویندوز، سوءاستفاده میکنند. این آسیبپذیری در ویژگی SmartScreen وجود داشت که برای هشدار به کاربران درباره وبسایتها و دانلودهای بالقوه خطرناک طراحی شده است.
با این حال، Styx تهدیدهای جدیدی را با اضافه کردن مکانیزم “crypto-clipping” ایجاد کرده است. این بدافزار محتوای کلیپبورد را برای تغییرات رصد کرده و سپس آدرسهای کیف پولهای ارز دیجیتال کپی شده را با آدرسهای متعلق به مهاجم جایگزین میکند.
پیشتر، باتنت Phorpiex از این تکنیک برای ربودن تراکنشهای ارز دیجیتال استفاده کرده بود. مرورگرهای مبتنی بر Chromium و Gecko، دادههای افزونههای مرورگر، تلگرام و دیسکورد به خصوص در برابر این بدافزار آسیبپذیر هستند.
سازنده این بدافزار امکاناتی مانند ویژگی autorun و یک رابط گرافیکی کاربرپسند را در آن قرار داده که سفارشیسازی و استفاده از آن را برای مجرمان سایبری آسانتر میکند. Styx همچنین به تکنیکهایی برای پنهانسازی عملیات خود مجهز است. توزیع و فروش این بدافزار به صورت دستی از طریق حساب تلگرام @styxencode و وبسایت styxcrypter.com مدیریت میشود. CPR همچنین تبلیغاتی و ویدیوهای یوتیوبی را کشف کرده است که این نرمافزار مخرب را ترویج میکنند.
حداقل 54 نفر حدود 9500 دلار به توسعهدهنده Styx از طریق ارزهای دیجیتالی مانند بیتکوین و لایتکوین پرداخت کردهاند. برخلاف نسخههای قبلی که رایگان بودند، این بدافزار با مجوز ماهیانه 75 دلار، سه ماهه 230 دلار و دسترسی دائمی 350 دلار ارائه میشود.
میزان ارزهای دیجیتالی سرقت شده یا گستره سیستمهای آلوده با استفاده از Styx هنوز نامشخص است.
بدافزارهای سرقتکننده ارز دیجیتال همچنین در سیستمعامل MacOS اپل نیز یافت شدهاند. به گفته توسعهدهنده آنتیویروس Kaspersky، این بدافزار نرمافزارهای کیف پول بیتکوین و Exodus را هدف قرار داده و نسخهای تغییر یافته از آنها را جایگزین نسخه اصلی کرده است.
با گسترش بخش ارز دیجیتال، هکها و سرقتها بسیار سودآور شدهاند و سالانه میلیونها دلار از این طریق از دست میرود. با این حال، برخی از بازیگران بدنام تهدیدات سایبری تصمیم گرفتهاند که فعالیتهای خود را متوقف کنند. ماه گذشته، Angel Drainer، یک بدافزار drainer-as-a-service که مسئول بیش از 25 میلیون دلار سرقت بود، فعالیتهای خود را متوقف کرد. در ماه نوامبر نیز سرویس کلاهبرداری چند زنجیرهای Inferno Drainer عملیات خود را متوقف کرد.
منبع : crypto.news