Jälleen uusi haittaohjelma löydetty – nyt varastetaan selaintietoja, pikaviestejä ja kryptovaluuttaa

Check Point Research on paljastanut uuden Styx Stealer -haittaohjelman. Se pystyy varastamaan selaintietoja, Telegramin ja Discordin pikaviestintäkeskusteluja sekä kryptovaluuttaa.

Styx Stealer -haittaohjelma on kohdistettu yrityksiin useilla eri toimialoilla maailmanlaajuisesti ja on aiheuttanut merkittäviä tietovuotoja varastamalla arkaluonteisia tietoja.

Tutkimukset paljastivat, että Styx Stealer -haittaohjelman kehittäjä, joka käytti nimimerkkiä Sty1x, oli yhteydessä Agent Tesla -haittaohjelman toimijaan, Fucosrealiin. Yhteys löytyi, kun Check Point Research (CPR) havaitsi maaliskuussa 2024 roskapostikampanjan, jossa Agent Tesla -haittaohjelmaa käytettiin hyökkäyksiin kiinalaisia ja muita kansainvälisiä yrityksiä vastaan.

Huhtikuussa 2024 tapahtuneen virheenkorjauksen aikana Sty1x teki kohtalokkaan virheen, joka johti siihen, että tietoja vuoti hänen tietokoneeltaan. Vuodetut tiedot paljastivat hänen sijaintinsa Turkissa, yhteytensä Fucosrealiin, sekä heidän käyttämänsä Telegram-bottien tunnukset.

Virhe mahdollisti CPR:lle suuren määrän tiedustelutiedon saamisen, mukaan lukien asiakkaiden määrän, tuottotiedot, lempinimet, puhelinnumerot ja sähköpostiosoitteet. Lisäksi CPR onnistui seuraamaan hakkerien toimintaa Telegramin kautta ja yhdistämään heidät aikaisempiin haittaohjelmakampanjoihin.

Styx Stealer on varustettu kryptovaluutan varastamiseen tarkoitetulla ”crypto-clipper” -toiminnolla, joka voi vaihtaa uhrin leikepöydälle kopioiman kryptovaluuttaosoitteen hyökkääjän osoitteeseen. Lisäksi siinä hyödynnetään pysyvyysmekanismia, joka varmistaa haittaohjelman toiminnan myös uudelleenkäynnistysten jälkeen.

Lisätietoa aiheesta on Check Pointin sivustolla.