In wat een geval is van een operationele veiligheidsfout (OPSEC), heeft de exploitant achter een nieuwe informatiedief genaamd Styx Stealer gegevens gelekt van zijn eigen computer, waaronder gegevens over de klanten, winstinformatie, bijnamen, telefoonnummers en e-mailadressen.
Styx Stealer, een afgeleide van de Phemedrone Stealer, is in staat om browsergegevens, instant messenger-sessies van Telegram en Discord en cryptocurrency wallet-informatie te stelen, aldus cybersecuritybedrijf Check Point in een analyse. Het verscheen voor het eerst in april 2024.
“Styx Stealer is hoogstwaarschijnlijk gebaseerd op de broncode van een oude versie van Phemedrone Stealer, die een aantal functies mist die wel in nieuwere versies zitten, zoals het versturen van rapporten naar Telegram, het versleutelen van rapporten en meer”, aldus het bedrijf.
“De maker van Styx Stealer heeft echter een aantal nieuwe functies toegevoegd: automatisch starten, klembordmonitor en crypto-clipper, extra sandbox-ontwijkings- en anti-analysetechnieken, en het verzenden van gegevens naar Telegram opnieuw geïmplementeerd.”
Geadverteerd voor $ 75 per maand (of $ 230 voor drie maanden of $ 350 voor een levenslang abonnement) op een speciale website (“styxcrypter(.)com”), vereisen licenties voor de malware dat potentiële kopers contact opnemen met een Telegram-account (@styxencode). Het is gekoppeld aan een in Turkije gevestigde bedreigingsactor die op cybercrimeforums onder de alias STY1X actief is.
Check Point meldde dat het verbanden heeft kunnen ontdekken tussen STY1X en een spamcampagne uit maart 2024, die Agent Tesla-malware verspreidde en gericht was op verschillende sectoren in China, India, de Filipijnen en de VAE. De activiteiten van Agent Tesla worden toegeschreven aan een kwaadwillende actor met de naam Fucosreal, die zich vermoedelijk in Nigeria bevindt.
Dit werd mogelijk gemaakt doordat STY1X de stealer op hun eigen machine debugde met behulp van een Telegram-bottoken van Fucosreal. Deze fatale fout stelde het cybersecuritybedrijf in staat om maar liefst 54 klanten en 8 cryptocurrency-wallets te identificeren, waarschijnlijk van STY1X, waarvan gezegd wordt dat ze zijn gebruikt om de betalingen te ontvangen.
“Deze campagne viel op door het gebruik van de Telegram Bot API voor data-exfiltratie, waarbij gebruik werd gemaakt van de infrastructuur van Telegram in plaats van traditionele command-and-control (C&C)-servers, die gemakkelijker te detecteren en te blokkeren zijn”, aldus Check Point.
“Deze methode heeft echter een belangrijk gebrek: elk malwaremonster moet een bottoken bevatten voor authenticatie. Het decoderen van de malware om dit token te extraheren, biedt toegang tot alle gegevens die via de bot worden verzonden, waardoor het account van de ontvanger wordt blootgesteld.”
De onthulling komt op een moment dat er nieuwe stealer-malware opduikt, zoals Ailurophile, Banshee Stealer en QWERTY. Tegelijkertijd worden bekende stealers zoals RedLine gebruikt bij phishingaanvallen die gericht zijn op Vietnamese fabrikanten van olie en gas, industriële, elektrische en HVAC-apparatuur, verf, chemicaliën en hotels.
“RedLine is een bekende stealer die inloggegevens, creditcardgegevens, browsergeschiedenis en zelfs cryptocurrency wallets op het oog heeft,” aldus Symantec, eigendom van Broadcom. “Het wordt actief gebruikt door meerdere groepen en individuen over de hele wereld.”
“Nadat het is geïnstalleerd, verzamelt het gegevens van de computer van het slachtoffer en stuurt deze naar een externe server of Telegram-kanaal dat door de aanvallers wordt beheerd.”