In un caso di errore di sicurezza operativa (OPSEC), l’operatore dietro un nuovo info-stealer chiamato Styx Stealer ha divulgato dati dal proprio computer, inclusi dettagli relativi ai clienti, informazioni sui profitti, soprannomi, numeri di telefono e indirizzi email.
Styx Stealer e perché è stato un fallimento per l’operatore che ci sta dietro
Styx Stealer, un derivato del Phemedrone Stealer, è in grado di rubare dati dal browser, sessioni di messaggistica istantanea da Telegram e Discord, e informazioni sui portafogli di criptovalute, secondo un’analisi della società di cybersecurity Check Point; è emerso per la prima volta nell’aprile 2024.
“Styx Stealer è molto probabilmente basato sul codice sorgente di una vecchia versione del Phemedrone Stealer, che manca di alcune funzionalità presenti nelle versioni più recenti, come l’invio di rapporti a Telegram, la crittografia dei rapporti e altro ancora“, ha osservato l’azienda, che ha successivamente aggiunto: “Tuttavia, il creatore di Styx Stealer ha aggiunto alcune nuove funzionalità: avvio automatico, monitoraggio degli appunti e crypto-clipper, evasione aggiuntiva del sandbox e tecniche anti-analisi, e ha reimplementato l’invio di dati a Telegram.”
Pubblicizzato a $75 al mese (o $230 per tre mesi o $350 per un abbonamento a vita) su un sito web dedicato (“styxcrypter[.]com”), le licenze per il malware richiedono ai potenziali acquirenti di contattare un account Telegram (@styxencode); è collegato a un criminale informatico (o ad un gruppo di criminali informatici) con sede in Turchia che si fa chiamare STY1X nei forum del crimine informatico.
Com’è iniziata la campagna che ha messo in circolazione Styx Stealer e l’errore dei criminali informatici
Check Point ha affermato di essere stata in grado di scoprire collegamenti tra STY1X e una campagna di spam del marzo 2024 che distribuiva il malware Agent Tesla e che ha preso di mira vari settori in Cina, India, Filippine e negli Emirati Arabi Uniti; l’attività di Agent Tesla è stata attribuita a un criminale informatico chiamato Fucosreal, la cui posizione approssimativa è in Nigeria.
Questo è stato reso possibile grazie al fatto che STY1X ha eseguito il debug dello stealer sulla propria macchina utilizzando un token bot di Telegram fornito da Fucosreal; questo errore fatale ha permesso all’azienda di sicurezza informatica Chuck Point di identificare ben 54 clienti e 8 portafogli di criptovalute, probabilmente appartenenti a STY1X, che si ritiene siano stati utilizzati per ricevere i pagamenti.
“Questa campagna è stata notevole per l’uso dell’API Bot di Telegram per l’esfiltrazione dei dati, sfruttando l’infrastruttura di Telegram invece dei tradizionali server di comando e controllo (C&C), che sono più facilmente rilevabili e bloccabili,” ha osservato Check Point, che poi detto: “Tuttavia, questo metodo presenta un difetto significativo: ogni campione di malware deve contenere un token bot per l’autenticazione. Decifrare il malware per estrarre questo token fornisce accesso a tutti i dati inviati tramite il bot, esponendo l’account destinatario.”
Non solo Styx Stealer: altre minacce informatiche sono in agguato
La divulgazione avviene in un contesto di emergenza di nuove varianti di malware stealer come Ailurophile, Banshee Stealer e QWERTY, mentre stealer ben noti come RedLine vengono utilizzati in attacchi di phishing che prendono di mira le industrie petrolifere e del gas, industriali, elettriche e HVAC del Vietnam, oltre ai produttori di vernici, chimica e hotel.
“RedLine è un info-stealer ben noto che prende di mira le credenziali di accesso, i dettagli delle carte di credito, la cronologia del browser e persino i portafogli di criptovalute“, ha detto Symantec, di proprietà di Broadcom. “È utilizzato attivamente da più gruppi e individui in tutto il mondo.”
Symantec ha concluso sostenendo che: “Una volta installato, raccoglie dati dal computer della vittima e li invia a un server remoto o a un canale Telegram controllato dagli aggressori.“
Curiosità: origine del nome dello stealer
Il nome “Styx Stealer” fa riferimento al fiume Stige, che nella mitologia greca separa il mondo dei vivi da quello dei morti; il fiume Stige era considerato un simbolo di inviolabilità e sacralità, e coloro che lo attraversavano non potevano più tornare indietro.
Questo nome è probabilmente stato scelto per suggerire l’idea che i dati rubati dallo Styx Stealer siano “perduti” per sempre, una volta passati nelle mani degli attaccanti, oltre a evocare un senso di pericolo e irreversibilità associato al malware stesso.