قائمة العملاء وتفاصيل الربح الخاصة بـ OPSEC الخاصة بـ Styx Stealer Creator
في حالة انقضاء الأمن التشغيلي (OPSEC)، قام المشغل الذي يقف وراء سرقة معلومات جديدة تسمى Styx Stealer بتسريب البيانات من جهاز الكمبيوتر الخاص به، بما في ذلك التفاصيل المتعلقة بالعملاء ومعلومات الربح والألقاب وأرقام الهواتف وعناوين البريد الإلكتروني.
قالت شركة الأمن السيبراني Check Point في تحليل لها إن Styx Stealer، وهو مشتق من Phemedrone Stealer، قادر على سرقة بيانات المتصفح وجلسات المراسلة الفورية من Telegram وDiscord ومعلومات محفظة العملات المشفرة. ظهرت لأول مرة في أبريل 2024.
“يعتمد Styx Stealer على الأرجح على الكود المصدري لإصدار قديم من Phemedrone Stealer، والذي يفتقر إلى بعض الميزات الموجودة في الإصدارات الأحدث مثل إرسال التقارير إلى Telegram وتشفير التقارير والمزيد،” الشركة ذُكر.
“ومع ذلك، أضاف منشئ Styx Stealer بعض الميزات الجديدة: التشغيل التلقائي، ومراقبة الحافظة، ومقص التشفير، والتهرب الإضافي من وضع الحماية، وتقنيات مكافحة التحليل، وإعادة تنفيذ إرسال البيانات إلى Telegram.”
تم الإعلان عنه مقابل 75 دولارًا أمريكيًا في الشهر (أو 230 دولارًا أمريكيًا لمدة ثلاثة أشهر أو 350 دولارًا أمريكيًا للاشتراك مدى الحياة) على موقع ويب مخصص (“styxcrypter”[.]com”)، تتطلب تراخيص البرامج الضارة من المشترين المحتملين التواصل مع حساب Telegram (@styxencode). وهو مرتبط بممثل تهديد مقيم في تركيا يستخدم الاسم المستعار STY1X في منتديات الجرائم الإلكترونية.
قالت Check Point إنها تمكنت من اكتشاف الاتصالات بين STY1X وحملة البريد العشوائي في مارس 2024 التي توزع البرمجيات الخبيثة Agent Tesla التي استهدفت قطاعات مختلفة في جميع أنحاء الصين والهند والفلبين والإمارات العربية المتحدة. وقد تم ارتداء نشاط Agent Tesla لممثل تهديد يُدعى Fucosreal، الذي يقع موقعه التقريبي في نيجيريا.
أصبح هذا ممكنًا نظرًا لحقيقة أن STY1X قام بتصحيح أخطاء السارق على أجهزتهم الخاصة باستخدام رمز Telegram bot المقدم من Fucosreal. سمح هذا الخطأ الفادح لشركة الأمن السيبراني بتحديد ما يصل إلى 54 عميلاً و8 محافظ عملات مشفرة، من المحتمل أنها تنتمي إلى STY1X، والتي يقال إنها استخدمت لتلقي المدفوعات.
وأشار تشيك بوينت إلى أن “هذه الحملة كانت ملحوظة لاستخدامها واجهة برمجة تطبيقات Telegram Bot لاستخلاص البيانات، والاستفادة من البنية التحتية لـ Telegram بدلاً من خوادم القيادة والتحكم التقليدية (C&C)، والتي يمكن اكتشافها وحظرها بسهولة أكبر”.
“ومع ذلك، فإن هذه الطريقة بها عيب كبير: يجب أن تحتوي كل عينة من البرامج الضارة على رمز بوت مميز للمصادقة. ويوفر فك تشفير البرامج الضارة لاستخراج هذا الرمز إمكانية الوصول إلى جميع البيانات المرسلة عبر الروبوت، مما يكشف حساب المستلم.”
ويأتي هذا الكشف وسط ظهور سلالات جديدة من البرمجيات الخبيثة السارقة مثل محب الهواء، بانشي سارق، و كويرتي، حتى مع استخدام برامج سرقة معروفة مثل RedLine في هجمات التصيد الاحتيالي التي تستهدف شركات النفط والغاز والصناعات الكهربائية والصناعية والكهربائية وصناعات التدفئة والتهوية وتكييف الهواء (HVAC) والطلاء والكيماويات والفنادق في فيتنام.
“RedLine هو برنامج سرقة معروف يستهدف بيانات اعتماد تسجيل الدخول وتفاصيل بطاقة الائتمان وسجل المتصفح وحتى محافظ العملات المشفرة”، حسبما ذكرت شركة Symantec المملوكة لشركة Broadcom. قال. “يتم استخدامه بنشاط من قبل مجموعات وأفراد متعددين حول العالم.”
“بمجرد تثبيته، يقوم بجمع البيانات من كمبيوتر الضحية وإرسالها إلى خادم بعيد أو قناة Telegram يتحكم فيها المهاجمون.”
إرسال التعليق