Check Point’teki siber güvenlik araştırmacıları yakın zamanda tarayıcı ve anlık mesajlaşma verilerini çalabilen “Styx Stealer” adlı yeni bir kötü amaçlı yazılım keşfettiler.
Tehdit aktörleri sıklıkla hırsızları kullanarak, tehlikeye atılmış sistemlerden hassas bilgileri gizlice toplamayı başarırlar.
Hırsızların çaldıkları bilgi türleri arasında kişisel kimlik bilgileri, finansal veriler ve parolalar da yer alıyor.
Çalınan veriler daha sonra başka saldırılarda, kimlik hırsızlığında veya karaborsada para karşılığında satılabiliyor; bu da hırsızların siber suçlarda önemli rol oynadığı anlamına geliyor.
Teknik Analiz
İnternette ilk olarak 2024 yılının nisan ayında fark edilen Styx Stealer adlı oldukça gelişmiş bir kötü amaçlı yazılım, Phemedrone Stealer’ı temel alıyor ancak bazı önemli iyileştirmeler de getiriyor.
Kaydedilmiş parolaları, çerezleri, otomatik doldurma verilerini ve kripto para cüzdanı bilgilerini çalmak için Chromium ve Gecko tabanlı tarayıcıları hedef alıyor.
Kötü amaçlı yazılım ayrıca Telegram ve Discord oturumlarına müdahale ediyor, sistem verilerini derliyor ve ekran görüntüleri alıyor.
Otomatik başlatma işlevi, gerçek zamanlı pano izleme ve kripto kırpma yetenekleri, selefinin ötesine geçen temel özellikleri arasında yer alırken, anti-virüs programları ve sanal alanlar tarafından analiz edilmeye de direnebiliyor.
Styx Stealer, “Sty1x” adlı bir Türk siber suçlu tarafından tasarlandı ve Telegram veya özel bir web sitesi üzerinden aylık 75 dolardan sınırsız erişim için 350 dolara kadar değişen fiyatlarla satılıyor.
.webp)
Adli analiz sonucunda, Sty1x’in Agent Tesla zararlı yazılımının kullanıldığı başka bir olayda Fucosreal ve Mack_Sant takma adları altında faaliyet gösteren bir Nijeryalı aktörle birlikte çalıştığı keşfedildi.
Operasyon ağırlıklı olarak metalurji, ulaştırma ve üretim gibi farklı alanlarda faaliyet gösteren Çinli firmalara odaklandı.
Operasyonel bir güvenlik açığı, Sty1x’in geliştirme çalışmalarını, kişisel verileri ve uluslararası internet suçlularının karmaşık ağlarını ortaya çıkaran siber suç ekosistemindeki karmaşık bağlantıları ortaya çıkardı.
Sty1x, Phemedrone Stealer’ın eski bir sürümünden türetilen bir kötü amaçlı yazılım olan Styx Stealer’ı, bir kripto-kesici, iyileştirilmiş anti-analiz teknikleri ve grafiksel arayüze sahip yapılandırılabilir bir oluşturucu ile geliştirmiştir.
@Mack_Sant (diğer adıyla Fucosreal) tarafından sağlanan ve Agent Tesla kampanyasıyla bağlantısı olan bir Telegram bot token’ını kullanarak hırsızı hata ayıklayarak operasyonunu istemeden ifşa etti.
.webp)
Bu kritik operasyonel güvenlik açığı, kimliklerini, e-posta adreslerini ve siber suç ağlarını açığa çıkardı.
Sty1x, Styx Stealer ve Styx Crypter’ı Telegram (@styxencode) üzerinden pazarladı ve Bitcoin, Litecoin, Tron USDT ve Monero ile ödeme kabul etti.
Analiz, iki aylık bir süre zarfında sekiz adet tanımlanmış kripto para cüzdanında 54 müşteriyi ve yaklaşık 9.500 dolarlık geliri ortaya çıkardı.
Styx Stealer’ın pratikliği, tarayıcı ayrıntılarını, kripto para cüzdanı verilerini ve sistem bilgilerini çalarken BDT ülkelerinin tespitinden kaçınmak için anti-VM ve coğrafi engelleme tekniklerini kullanmayı içeriyor.
.webp)
Ancak soruşturmada, Sty1x’in Umbral Stealer’ı kullanarak ve web sitelerine girerek gerçekleştirdiği diğer siber suç faaliyetleri de ortaya çıkarıldı.
Bunun dışında, tüm bu satışlar ve Styx Stealer’ı geniş çapta dağıtma çabaları başarısızlıkla sonuçlandı çünkü kendi sistemleri ve çeşitli güvenlik sanal alanları dışında doğrulanmış bir kurban yok.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access