Operasyonel güvenlik (OPSEC) ihlali olarak adlandırılan olayda, Styx Stealer adı verilen yeni bir bilgi hırsızının arkasındaki operatör, kendi bilgisayarından müşterilerle ilgili ayrıntılar, kar bilgileri, takma adlar, telefon numaraları ve e-posta adresleri gibi verileri sızdırdı.
Phemedrone Stealer’ın bir türevi olan Styx Stealer, siber güvenlik şirketi Check Point’in bir analizinde tarayıcı verilerini, Telegram ve Discord’dan anlık mesajlaşma oturumlarını ve kripto para cüzdanı bilgilerini çalabiliyor. İlk olarak Nisan 2024’te ortaya çıktı.
Şirket, “Styx Stealer büyük ihtimalle Phemedrone Stealer’ın eski bir versiyonunun kaynak koduna dayanıyor ve bu versiyonda Telegram’a rapor gönderme, rapor şifreleme gibi yeni versiyonlarda bulunan bazı özellikler bulunmuyor” ifadelerini kullandı.
“Ancak Styx Stealer’ın yaratıcısı bazı yeni özellikler ekledi: otomatik başlatma, pano izleme ve kripto kırpma, ek deneme alanı kaçınma ve analiz karşıtı teknikler ve Telegram’a veri gönderme yeniden uygulandı.”
Aylık 75 dolara (veya üç ay için 230 dolara veya ömür boyu abonelik için 350 dolara) özel bir web sitesinde (“styxcrypter”) reklamı yapılıyor[.]com”), kötü amaçlı yazılımın lisansları, olası alıcıların bir Telegram hesabına (@styxencode) ulaşmasını gerektiriyor. Siber suç forumlarında STY1X takma adını kullanan Türkiye merkezli bir tehdit aktörüyle bağlantılı.
Check Point, STY1X ile Çin, Hindistan, Filipinler ve BAE’deki çeşitli sektörleri hedef alan Agent Tesla kötü amaçlı yazılımını dağıtan Mart 2024’teki bir spam kampanyası arasındaki bağlantıları ortaya çıkarabildiğini söyledi. Agent Tesla faaliyeti, yaklaşık konumu Nijerya olan Fucosreal adlı bir tehdit aktörü tarafından gerçekleştiriliyor.
Bu, STY1X’in Fucosreal tarafından sağlanan bir Telegram bot token’ı kullanarak kendi makinesinde hırsızı hata ayıklaması sayesinde mümkün oldu. Bu ölümcül hata, siber güvenlik şirketinin ödemeleri almak için kullanıldığı söylenen, muhtemelen STY1X’e ait olan 54 müşteri ve 8 kripto para cüzdanını tespit etmesine olanak sağladı.
Check Point, “Bu kampanya, geleneksel komuta ve kontrol (C&C) sunucuları yerine, Telegram’ın altyapısını kullanarak veri sızdırma amacıyla Telegram Bot API’sini kullanması nedeniyle dikkat çekiciydi; bu sunucular daha kolay tespit edilebilir ve engellenebilir” dedi.
“Ancak, bu yöntemin önemli bir kusuru vardır: her kötü amaçlı yazılım örneği kimlik doğrulaması için bir bot belirteci içermelidir. Bu belirteci çıkarmak için kötü amaçlı yazılımın şifresini çözmek, bot aracılığıyla gönderilen tüm verilere erişim sağlar ve alıcı hesabını açığa çıkarır.”
Açıklama, Ailurophile, Banshee Stealer ve QWERTY gibi yeni hırsız yazılım türlerinin ortaya çıkmasıyla birlikte geldi. Ayrıca, RedLine gibi iyi bilinen hırsız yazılımları, Vietnam petrol ve gaz, endüstriyel, elektrik ve HVAC üreticileri, boya, kimya ve otel endüstrilerini hedef alan kimlik avı saldırılarında kullanılıyor.
Broadcom’a ait Symantec, “RedLine, oturum açma kimlik bilgilerini, kredi kartı bilgilerini, tarayıcı geçmişini ve hatta kripto para cüzdanlarını hedef alan iyi bilinen bir hırsızdır” dedi. “Dünya çapında birden fazla grup ve birey tarafından aktif olarak kullanılıyor.”
“Kurulumdan sonra kurbanın bilgisayarından veri topluyor ve saldırganların kontrolündeki uzak bir sunucuya veya Telegram kanalına gönderiyor.”