Check Point Research (CPR) on paljastanut uuden haittaohjelman, joka pystyy varastamaan selaintietoja, Telegramin ja Discordin pikaviestintäkeskusteluja sekä kryptovaluuttaa. Kyse on haitasta nimeltä Styx Stealer, joka on johdettu pahamaineisesta Phemedrone Stealer -ohjelmasta.
Styx Stealer Se kohdistuu yrityksiin useilla eri toimialoilla maailmanlaajuisesti ja on aiheuttanut merkittäviä tietovuotoja varastamalla arkaluonteisia tietoja. Tutkimukset paljastivat, että Styx Stealer -haittaohjelman kehittäjä, joka käytti nimimerkkiä Sty1x, oli yhteydessä Agent Tesla -haittaohjelman toimijaan, Fucosrealiin. Tämä yhteys löytyi, kun CPR havaitsi maaliskuussa 2024 roskapostikampanjan, jossa Agent Tesla -haittaohjelmaa käytettiin hyökkäyksiin kiinalaisia ja muita kansainvälisiä yrityksiä vastaan.
Huhtikuussa 2024 tapahtuneen virheenkorjauksen aikana Sty1x teki kohtalokkaan virheen, joka johti siihen, että tietoja vuoti hänen tietokoneeltaan. Vuodetut tiedot paljastivat hänen sijaintinsa Turkissa, yhteytensä Fucosrealiin, sekä heidän käyttämänsä Telegram-bottien tunnukset. Tämä mahdollisti CPR:lle suuren määrän tiedustelutiedon saamisen, mukaan lukien asiakkaiden määrän, tuottotiedot, lempinimet, puhelinnumerot ja sähköpostiosoitteet. Lisäksi CPR onnistui seuraamaan hakkerien toimintaa Telegramin kautta ja yhdistämään heidät aikaisempiin haittaohjelmakampanjoihin.
Styx Stealeriä levitetään yleensä tietojenkalasteluviestien, haitallisten latausten tai vaarantuneiden verkkosivustojen kautta, jotka huijaavat käyttäjiä asentamaan haittaohjelman. Styx Stealer on asennettu järjestelmään, se toimii salaa taustalla välttäen usein virustorjuntaohjelmiston havaitsemisen hämärätekniikoiden avulla.
Varastetut tiedot lähetetään yleensä takaisin hyökkääjien ylläpitämään komento- ja ohjauspalvelimeen. Sieltä tietoja voidaan käyttää uusiin hyökkäyksiin, myydä tai käyttää taloudellisen hyödyn saamiseksi.
Styx Stealer on varustettu kryptovaluutan varastamiseen tarkoitetulla "crypto-clipper" -toiminnolla, joka voi vaihtaa uhrin leikepöydälle kopioiman kryptovaluuttaosoitteen hyökkääjän osoitteeseen, sekä pysyvyysmekanismilla, joka varmistaa haittaohjelman toiminnan myös uudelleenkäynnistysten jälkeen.
Teknologia19 – Aalto-yliopiston kyberturvallisuusprofessori Jarno Limnéll uskoo, että luotettavuudesta voi tulla suomalaisten yritysten suurin myyntivaltti tulevaisuudessa. – Tärkein kysymys on tulevaisuudessa, kehen ja mihin voimme luottaa. Luottamuksesta on tulossa hyvin arvokas aineeton pääoma yrityksille, Limnéll sanoi eilen messukeskuksessa.
