Styx Stealer: создатель опасного вредоноса случайно разоблачил сам себя

Check Point обнаружила серьезную ошибку операционной безопасности в новой вредоносной программе Styx Stealer, которая позволила исследователям выследить и разоблачить ее автора. Компания утверждает, что разработчик заразил их собственный компьютер. Именно благодаря этому стилер удалось связать с турецким хакером, известным под псевдонимом Sty1x.

Styx Stealer представляет собой модифицированную версию вредоносного ПО Phemedrone Stealer, которое стало широко известно в начале 2024 года после эксплуатации уязвимости CVE-2023-36025 в Microsoft Windows Defender SmartScreen. Новый вредонос унаследовал основные функции Phemedrone, включая кражу паролей, файлов cookie и данных автозаполнения из браузеров, а также информации из криптовалютных кошельков.

В Check Point обнаружили, что Styx Stealer продается на сайте styxcrypter[.]com по подписке: $75 за месячную лицензию, $230 за три месяца и $350 за пожизненную подписку. Покупателям предлагают связаться с продавцом через Telegram-аккаунт @styxencode.

Во время отладки вредоносной программы Sty1x случайно загрузил архив с данными со своего компьютера в Telegram-бот, который использовался в кампании по распространению другого вредоноса — Agent Tesla. Этот архив содержал скриншот рабочего стола разработчика с открытым проектом Visual Studio под названием «PhemedroneStealer» и процессом отладки «Styx-Stealer.exe». На скриншоте также был виден файл Program.cs с жестко закодированным токеном Telegram-бота и ID чата, которые совпадали с данными, извлеченными из образца Agent Tesla.

Анализируя полученные данные, исследователи Check Point смогли установить, что создатель Styx Stealer использует два Telegram-аккаунта: @styxencode и @cobrasupports. Они также определили, что разработчик находится в Турции, отследив его перемещения по стране на основе данных о входе в аккаунты.

Дальнейшее расследование показало связь между создателем Styx Stealer и нигерийским киберпреступником с ником Fucosreal (также использующим псевдоним @Mack_Sant). Именно Fucosreal предоставил токен Telegram-бота, который использовал Sty1x при отладке своего ПО.

Check Point удалось восстановить цепочку событий: Sty1x добавил функцию отправки данных через Telegram и протестировал ее на своем собственном боте. Затем он убедил @Mack_Sant запустить ту же сборку стилера на его компьютере. После этого Sty1x вставил токен от бота @joemmBot, присланный @Mack_Sant, в программу.

Sty1x, вероятно, занимается и другой киберпреступной деятельностью. Аналитики нашли доказательства того, что он использовал открытый стилер Umbral и, возможно, был связан с одноименной группировкой.

За два месяца с 18 апреля 2024 года создатель Styx Stealer получил около $9,500 от продажи своего продукта. Check Point идентифицировала 54 клиента и 8 криптовалютных кошельков, предположительно принадлежащих Sty1x. Как показал технический анализ, Styx Stealer основан на более ранней версии Phemedrone Stealer, выпущенной до сентября 2023 года. Однако в него были добавлены новые функции, такие как мониторинг буфера обмена, криптоджекинг и автозапуск. Он включает дополнительные методы уклонения от обнаружения, включая проверку на наличие процессов, связанных с отладчиками и аналитическим ПО, а также обнаружение виртуальных машин и песочниц.