揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

admin 2024年8月18日21:39:59评论29 views字数 10593阅读35分18秒阅读模式

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

关键要点

Check Point Research (CPR) 最近发现了 Styx Stealer,这是一种新型恶意软件,能够窃取浏览器数据、Telegram 和 Discord 的即时通讯会话以及加密货币。尽管它最近才出现,但已在攻击中引起注意,包括针对我们客户的攻击。

经发现,Styx Stealer 的开发者与 Agent Tesla 威胁行为者之一 Fucosreal 有联系,后者也参与了针对我们客户的垃圾邮件活动。

在 Styx Stealer 的调试过程中,开发人员犯了一个致命错误,泄露了计算机中的数据,这使得 CPR 获取了大量情报,包括客户数量、利润信息、昵称、电话号码和电子邮件地址,以及有关 Agent Tesla 活动幕后参与者的类似数据。

介绍

在网络犯罪的黑暗世界中,即使是最狡猾的黑客也会犯下大错,从而暴露他们的行动。在本文中,CPR 描述了 Styx Stealer 的发现,这是一种源自臭名昭著的 Phemedrone Stealer 的新恶意软件变种。我们的调查揭示了 Styx Stealer 开发人员的重大失误,包括重大的操作安全 (OpSec) 漏洞,导致其计算机中的敏感信息泄露。

Styx Stealer 的根源可以追溯到Phemedrone Stealer,该恶意软件在 2024 年初因Microsoft Windows Defender SmartScreen 中的CVE-2023-36025漏洞被利用来传播而广为人知。Phemedrone 曾经在 GitHub 上免费提供,但此后存储库和相关帐户已被删除,从而产生了各种分支。其中之一就是 Styx Stealer 的出现,它在网站 styxcrypter[.]com 上出售。

冥河窃贼

Styx Stealer 是一款功能强大的恶意软件,能够窃取各种基于 Chromium 和 Gecko 的浏览器保存的密码、cookie 和自动填充数据、浏览器扩展数据、加密货币钱包数据以及 Telegram 和 Discord 会话。它还会收集系统信息,包括硬件信息和外部 IP 地址,并可以在启动恶意软件之前截取屏幕截图以更好地了解环境。所有这些核心功能均继承自 Phemedrone Stealer。

我们的分析表明,Styx Stealer 很可能基于旧版 Phemedrone Stealer 的源代码,旧版缺少新版中的一些功能,例如向 Telegram 发送报告、报告加密等。不过,Styx Stealer 的创建者添加了一些新功能:自动启动、剪贴板监视器和加密剪辑器、额外的沙盒逃避和反分析技术,并重新实现了向 Telegram 发送数据的功能。

我们发现,该窃取程序的第一批广告出现在 2024 年 4 月,恰逢销售 Styx Stealer 的 styxcrypter[.]com 网站的推出。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 1 –来自 styxcrypter[.]com 网站的 Styx Stealer 定价。

虽然原版 Phemedrone Stealer 完全免费,但 Styx Stealer 需要通过订阅才能获得——每月许可证 75 美元,三个月 230 美元,终身订阅 350 美元。该网站不提供直接购买选项。截至本文撰写时,潜在买家需要通过 Telegram 帐户 @styxencode 联系卖家。

该网站的名称表明它最初很可能是为了销售另一种产品 Styx Crypter 而创建的,这是一款旨在防止被防病毒程序分析和检测的软件。

Styx Stealer 和 Styx Crypter 的演示之前曾在 Styx YouTube 频道 ( https://www.youtube.com/channel/StyxDeveloper-ie7je ) 上找到,但目前无法观看。值得注意的是,与我们在之前的出版物中描述的其他加密器一样,Styx Crypter 被宣传为合法的软件保护工具:

本视频和 Styx 软件并非旨在宣传或支持任何非法活动。Styx 旨在作为一种工具来增强和保护您合法拥有的软件的安全性,应按规定使用!!

YouTube https://www.youtube.com/watch?v=UyNhm_sfEig 上Styx Stealer的描述几乎完全是从 Styx Crypter 的描述中复制而来的。我们很高兴地看到它是“数字间谍的终极工具……旨在保护您的软件应用程序。”

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 2 – YouTube 上的 Styx Stealer 演示视频描述。

域名 styxcrypter[.]com 于 2024 年 4 月 26 日注册,但销售实际上开始得更早一些。Styx YouTube 频道上展示 Styx Stealer 的第一个视频于 4 月 23 日发布,而宣传 Styx Crypter 的 Hackforums 上的 STY1X 帐户于 4 月 13 日注册:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 3 – Hackforums 上的 STY1X 配置文件。

为简洁起见,从现在开始我们将 Styx Stealer 和 Styx Crypter 的创建者称为 Sty1x。

特工特斯拉战役和 Styx Stealer 创建者的 OpSec 失败

2024 年 3 月,我们发现了一起针对我们客户的垃圾邮件活动,其中传播了一个恶意 TAR 存档(SHA256:088bc96742dd7eaab4563a1830b9ca74cc2fa7a933b1b89485ddfc09b18f1bae):

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 4 – 针对我们客户的恶意垃圾邮件活动。

此档案包含特工特斯拉窃取者:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 5 – 电子邮件附件包含 Agent Tesla 恶意软件。

在这次活动中,Agent Tesla 使用 Telegram Bot API 进行数据泄露。我们设法从恶意软件配置中提取了 Telegram Bot 令牌:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 6 – Agent Tesla 恶意软件配置包含 Telegram 机器人令牌。

该机器人名为@joemmBot,由用户@Fucosreal 创建,标识符为“6649460096”:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 7 - Agent Tesla 活动中使用的 Telegram 机器人的所有者。

值得注意的是,任何拥有 Telegram 机器人令牌的人都可以向发起与该机器人聊天的用户发送消息,也可以接收机器人发送的消息。

通过对该机器人的调查,我们发现攻击者主要针对中国公司的代表,这是从所见的 IP 和电子邮件地址得出的结论。然而,我们还发现印度、阿联酋和菲律宾的公司也受到了影响。受害者来自多个商业部门,包括:

  • 钻石行业

  • 冶金工业

  • 玻璃制造

  • 环保包装

  • 海运

  • 壁纸制造

  • 铝工业

注意:为了保护隐私和机密性,故意省略具体的公司名称。

在监控机器人活动时,我们发现一份与 Agent Tesla 典型报告结构不符的文档。这份文档是一个结构类似于 Phemedrone Stealer 的档案,但标题不同,其中包含标识符“Styx Stealer”:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 8 – Styx Stealer 和 Phemedrone Stealer 报告标题的比较。

Phemedrone Stealer 的最新版本包含一项功能,可以将数据发送到 Telegram,并使用每个活动的唯一密钥对其进行加密。

然而,我们截获的档案并未加密。此外,正如我们分析的样本所观察到的,Styx Stealer 所基于的版本不包含通过 Telegram 发送数据的功能。

我们截获的档案还包含一张截图,显示了在调试进程“Styx-Stealer.exe”期间,Visual Studio IDE 中一个名为“PhemedroneStealer”的项目。该项目中的 Program.cs 文件包含一个硬编码的 Telegram Bot 令牌和聊天 ID,与我们之前分析的 Agent Tesla 样本中提取的令牌和聊天 ID 完全匹配。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 9 - Styx Stealer 开发人员调试期间的桌面屏幕截图。

我们注意到屏幕截图在 Windows 语言面板中选择了土耳其语 (TUR)。

看起来,我们拦截的档案是在恶意软件调试过程中从 Styx Stealer 开发人员的计算机上传到 Telegram 的。

当我们调查 Sty1x 的个人资料和活动时,我们没有发现任何证据表明他传播了 Agent Tesla 恶意软件。因此,尚不清楚 Sty1x 与 Agent Tesla 活动有何关联,以及他从何处获得此活动中使用的 Telegram 机器人令牌。

然而,当我们处理从档案中获得的数据时,我们找到了答案。让我们一步一步地更新这一点。

我们从档案中提取了两个 Telegram 帐户的加密用户数据:@styxencode和@cobrasupports。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 10 – Styx Stealer 开发人员的 Telegram 帐户泄露数据。

我们毫不怀疑,我们是直接从 Styx Stealer (Sty1x) 的创建者和销售商的计算机中获取这些数据的,因为用户名@styxencode 在网站 styxcrypter[.]com 上被提及。

值得注意的是,与 @styxencode 帐户关联的电话号码带有西班牙的国家代码 (+34)。我们怀疑这可能是专门为使用众多专业服务之一注册 Telegram 帐户而购买的临时号码。第二个电话号码 (+90 505 6…) 属于土耳其运营商,可能是 Styx Stealer 创建者的私人号码。

@styxencode 帐户自 2024 年 4 月 9 日起生效,专门用于与 Styx Stealer 和 Styx Crypter 客户沟通、处理订单和提供更新。@cobrasupports 帐户更老,可能用于与早期 Styx 客户(在网站创建之前)和网络犯罪界的其他熟人沟通。

两个账户的登录信息都被追溯到土耳其的不同城市,这使我们能够追踪 Sty1x 的动向:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 11 –带有时间戳的@styxencode 和@cobrasupports Telegram 帐户的位置数据。

至此,我们知道了Sty1x使用的电话号码,并确定他在土耳其。

与尼日利亚威胁行为者 Fucosreal 的联系

我们质疑 Sty1x 是如何获得与 Agent Tesla 活动相关的 Telegram 机器人令牌的。答案是 Sty1x 从 Telegram 用户 @Mack_Sant 那里获得了它,我们在他们通过从 Agent Tesla Telegram 机器人获得的数据获得的通信中找到了证据。

我们了解到,Sty1x 免费向 @Mack_Sant 提供产品访问权限。@Mack_Sant 分享了他的犯罪活动细节,称他使用 Origin 恶意软件,针对中国用户。4 月 11 日,Sty1x 首次提到他正在开发一种新的窃取程序(可能是 Styx Stealer),他和 @Mack_Sant 讨论了增加通过 Telegram 进行数据泄露的功能是个好主意。

4 月 14 日,Sty1x 要求 @Mack_Sant 发送 Telegram 机器人令牌和聊天 ID。作为回应,@Mack_Sant 发送了机器人令牌(我们之前在恶意 Agent Tesla 活动中遇到过)。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 12 –@Mack_Sant 向 Sty1x 提供了 Telegram 机器人令牌。

我们还发现了第二个机器人,其用户名为@kralboting_bot,名称为guney_bot,这是 Sty1x 使用 @cobrasupports 帐户创建的,我们能够获取它的令牌。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 13 – Sty1x 创建的用于调试 Styx Stealer 的机器人。

@kralboting_bot 仅与用户 @cobrasupports 创建了聊天室,其中还包含来自其计算机的 Styx Stealer 报告,但时间戳较早。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 14 - Sty1x 的计算机屏幕截图,显示了 Telegram 中上传的报告。

报告还包含 Sty1x 计算机的 IP 和 MAC 地址,以及编译窃取程序的路径:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 15 – Styx Stealer 报告包含开发人员的 IP 地址和位置数据。

在这些报告中,我们还发现了在 Visual Studio 中调试窃取程序时拍摄的屏幕截图。屏幕截图中的代码与我们之前看到的非常相似,但 Telegram 机器人令牌除外:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 16 - 使用另一个机器人令牌进行调试时 Sty1x 桌面的屏幕截图。

同一个机器人上传了另一份 Styx Stealer 报告,但来自另一台计算机,用户名是 Fucos:[Fucos] – [DESKTOP-FE6P332 ].zip

从 Sty1x 和 @Mack_Sant 之间的通信中可以清楚地看出,Sty1x 最初发送窃取程序时使用了其机器人令牌,以确保它能够在 Mack_Sant 的计算机上运行,因为他在 VPS(虚拟专用服务器)上运行它时遇到了问题。这是可以理解的,因为 Styx Stealer 包含反虚拟机检查:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 17 –@cobrasupports (Sty1x) 和@Mack_Sant 之间的对话。

结果,我们从@Mack_Sant 的计算机中获取了 Styx Stealer 日志,并了解到他位于尼日利亚拉各斯,使用用户名“Fucos”。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 18 – Styx Stealer 报告包含@Mack_Sant 的 IP 地址和位置数据。

让我们回想一下,与 Agent Tesla 活动相关的第一个机器人是由名为 Fucos Real 的用户创建的(最初是 @Fucosreal,后来改为 @Toolbase1,然后改为 @RDPBASE1)。显然,这不是巧合,因此我们可以得出结论,@Fucosreal 和 @Mack_Sant Telegram 帐户属于同一个人。

黑客的发现之路

现在,我们可以重建 Sty1x 和 Fucosreal 的操作序列,这些操作使我们能够从他们的计算机中获取数据。最初,Sty1x 添加了通过 Telegram 发送数据的功能,并在调试期间在自己的机器人上进行了测试。他还说服 @Mack_Sant 在他的计算机上运行相同的窃取程序。随后,Sty1x 将 @Mack_Sant 发送给他的 @joemmBot 中的令牌插入到窃取程序中。该机器人之前曾用于 Agent Tesla 活动,该活动针对的是世界各地的受害者,其中一些是我们的客户。

替换令牌后,Sty1x 在调试下再次运行了 Styx Stealer,这使我们能够从与 Agent Tesla 活动相关的机器人中的 PC 中获取日志。

顺便说一句,@Mack_Sant 还向 Sty1x 发送了一张他的智能手机和笔记本电脑的照片,其中显示了与该机器人的聊天内容,其中包含 Styx Stealer 报告。我们还看到了 Agent Tesla 报告的屏幕截图,这完全证实了我们的怀疑,即 @Mack_Sant(也称为 @Fucosreal)是该机器人的所有者,也是 Agent Tesla 活动的发起者:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 19 –@Mack_Sant 拍摄了他的智能手机和电脑的照片,其中打开了 Agent Tesla 机器人聊天,其中包含来自 Sty1x 电脑的 Styx Stealer 报告。

从两台计算机的 Styx Stealer 报告中,我们还了解到 Sty1x 和 Fucosreal 使用的电子邮件地址。

我们收集的信息摘要:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 20 - Styx Stealer 开发人员和 Agent Tesla 威胁行为者的帐户和昵称。

Fucosreal 的 Styx Stealer 活动

此前,Sty1x 提到他知道一种使用 Gmail 发送恶意文件的方法(因为 Google 通常会阻止发送可执行文件,即使它们位于档案中):

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 21 –@cobrasupports(Sty1x)发给@Mack_Sant 的消息。

Fucosreal 收到 Styx Stealer 及其 Telegram 机器人 @joemmBot 的令牌后,他询问 Sty1x 使用 Gmail 分发它需要什么。Sty1x 表示他会自己处理一切,并要求 Fucosreal 发送存档。Fucosreal 随后发送了准备好的恶意存档:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 22 –@Mack_Sant 将恶意档案(POlist.zip)发送给@cobrasupports(Sty1x)。

在存档中,我们发现了一个名为POlist.exe的恶意加载程序(SHA256:019b1767e76539b91fdb7f3feb76457f8ca509dec83bbb0ecddbe49139da25a3)。Styx Stealer 本身以十六进制编码形式托管在远程服务器上,并由加载程序从以下 URL 下载:

http://playerenterprises[.]org/Documental/uploads/661f19607b27c.txt

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 23 –在 POlist.exe 二进制文件中发现的加载 StyxStealer 的 URL。

从指定的 URL 下载有效负载并对其进行解码后,我们发现了一个 Styx Stealer 样本(SHA256:9ea494b525c4676e63f943e2d1dba751c377b9138613003c80d14ddfaed6883e),其中包含@joemmBot 的机器人令牌:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 24 – Styx Stealer 二进制文件中的@joemmBot Telegram 机器人令牌。

截至 4 月 17 日上午,我们在遥测中发现了一次使用 Styx Stealer 的攻击:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 25 – 针对我们客户的 Styx Stealer 活动。

希望这次恶意攻击彻底失败。我们在公司客户或其他用户中没有发现任何真正的受害者。

Sty1x 的其他网络犯罪活动

除了创建和销售窃取程序和加密程序外,我们发现 Sty1x 还可能使用恶意软件和入侵网站。在 Sty1x 和 Fucos 的对话中,我们发现 Sty1x 发送了两个包含开源 Umbral Stealer 报告的档案。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 26 – Sty1x 向 Fucos 发送来自 Umbral Stealer 的报告。

我们还发现了 Sty1x 之前可以访问的一个废弃的 Discord 帐户(他最后一次登录的时间大概是在 4 月中旬)。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 27 – Sty1x 使用的 Discord 帐户。

在此帐户中,我们发现了几个带有创建 webhook 的渠道的服务器,允许恶意软件上传受害者的数据:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 28 – 为恶意软件窃取数据而创建的 Discord webhook。

这些频道是从 Sty1x 使用的帐户 xxx1 (selsel31_58626) 创建的。但是,另一个用户“the world is yours”(0010011010110101) 也可以访问这些频道。我们发现,2024 年 1 月 7 日至 9 日期间,有超过 20 份 Umbral Stealer 报告通过 webhook 上传到这些频道,其中包括 Sty1x 发送给 Fucos 的报告。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 29 – 有权访问 Umbral Stealer 窃取的数据的 Discord 用户。

我们获得的数据可能表明,Sty1x 要么自己使用了 Umbral Stealer 恶意软件,要么参与了使用该恶意软件的组织,并且还将受害者被盗数据转发给其他人。

估算 Styx Stealer 和 Styx Crypter 的客户数量和销售收入

正如本文开头所述,要在网站 styxcrypter[.]com 上购买产品,买家需要通过 Telegram 账户 @styxencode 联系卖家。所有订单均手动处理。卖家接受各种加密货币作为 Styx Stealer 和 Styx Crypter 产品的付款方式:比特币、莱特币、Tron USDT 和门罗币。

如果有人有兴趣购买窃取程序或加密程序,Sty1x 会向他们发送一个钱包地址,用于付款。收到付款后,他会发送一个包含构建器和许可证密钥的档案。我们总共确定了 54 名客户。

使用正则表达式,我们还发现了 8 个用于接收付款的钱包,推测属于 Sty1x:

Blockchain Address
Bitcoin 1PbfzBuGwkx5dYJJkCZvhU9pAh3r3TwFvJ
Bitcoin 3JRQtHrHATv65zAaSiz4juX741GhueiFBs
Litecoin LfAqkNxzhEcv43Ts9kPs4CYGa2dcMSKxnY
TRON TGqAtvMQXuGCftFDxLRcBwjs6ZGSKStYpa
TRON TEzvzb7HANUPY7mVhruoSfxJ8S7mHDTAPX
TRON TVLHWrNQCJEVTEbfhyZL6R1EPyzPk25CTR
TRON THeTfVAmp9nU9W13RBvjSdxPix5m4uLwYX
Monero 46NJXqcrDYAhmSmpzRqaV9BqMKcCzuTMzH4dKqUyZSGx7w9hLULnmsTFeJo44Zgg2TUgrFoV97wJwUpvgQ6NYkNV8k7cRuW

我们收集了自 2024 年 4 月 18 日起两个月内所有转入指定地址的加密货币信息(Monero 除外,因为不允许获取此类信息)。收到的总金额(以美元等值计算)约为 9,500 美元。

Styx Stealer 的技术细节

Styx Stealer 的核心功能完全复制自 Phemedrone Stealer。我们不会详细介绍,因为之前已经描述过了。主要功能列表如下:

  • 从基于 Chromium 和基于 Gecko 的浏览器中获取 cookie、保存的密码、自动填充数据和保存的信用卡。

  • 从基于 Chromium 的浏览器中的浏览器扩展中窃取数据。

  • 窃取最流行的加密货币钱包数据,包括 Armory、Atomic、Bytecoin、Coinomi、Jaxx、Electrum、Exodus 和 Guarda。

  • 使用可配置的文件名模式(默认为“*.txt”、“*seed*”、“*.dat”、“*.mafile”)搜索并窃取“我的文档”和“桌面”文件夹中的文件。

  • 使用“https://ipinfo.io/json”服务获取位置数据,收集系统信息,包括操作系统名称和版本、CPU 和 GPU 信息、已安装和可用的 RAM:

  • 窃取 Discord、Steam 和 Telegram 会话。

Styx Stealer 使用基本技术来对抗分析,包括:

  • 检查 Wireshark 和 HTTP Debugger 的正在运行的进程,如果发现则终止它们:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 30 – Styx Stealer 和 Phemedrone Stealer 中的反分析功能。

基本的反虚拟机技术:收集 GPU 信息并检查其名称中是否存在代表流行虚拟机管理程序的特定字符串:“VirtualBox、VBox”、“VMware Virtual”、“VMware”、“Hyper-V Video”。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 31 – Styx Stealer 和 Phemedrone Stealer 中的反虚拟机检查。

  • 独联体国家的区块运营:俄罗斯、乌克兰、哈萨克斯坦、摩尔多瓦、白俄罗斯、阿塞拜疆、亚美尼亚、吉尔吉斯斯坦、塔吉克斯坦。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 32 – Styx Stealer 和 Phemedrone Stealer 中的国家检查。

我们将此功能与 Phemedrone Stealer 的多个版本进行了比较,并得出结论,Styx Stealer 的代码基于 2023 年 9 月之前发布的早期版本。例如,在 2023 年 9 月 1 日的 Phemedrone Stealer 2.1.1 版本中,存在某些功能,而这些功能在我们分析的 Styx Stealer 样本中并未发现。其中包括能够根据网站地址为被盗密码和 cookie 添加标签:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 33 – Phemedrone Stealer 新版本中的标记功能,而 Styx Stealer 中没有该功能。

在同一版本中,引入了流行的 FTP 客户端 FileZilla 的数据抓取工具。Styx Stealer 不具备此功能。

还值得注意的是,与 Styx Stealer 不同,Phemedrone 的较新版本能够使用针对每个恶意软件版本的唯一密钥来加密通过 Telegram 发送的数据。

因此,我们可以得出结论,Sty1x 无法访问最新版本,而是使用 Phemedrone 的旧分支作为来源。

与 Phemedrone Stealer 的区别

尽管共享一个通用的代码库,但我们还是在 Styx Stealer 中发现了原始恶意软件所没有的新功能。

剪贴板监视器和加密剪辑器

Styx Stealer 会以可配置的间隔(默认为每 2 毫秒)无限循环检查剪贴板的内容。如果剪贴板内容发生变化,则会触发加密剪切功能。

我们回想一下,加密货币剪切(或加密剪切)涉及在交易过程中窃取加密货币,方法是用攻击者的钱包地址替换剪贴板中的原始钱包地址。例如,在前面描述的僵尸网络 Phorpiex中就使用了这种技术。

Styx Stealer 会根据预定义的模式依次检查剪贴板内容。匹配后,它会将内容替换为其配置中指定的值之一:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 34 – Styx Stealer 中的加密剪辑功能。

加密剪辑器包含 9 种适用于不同区块链地址的正则表达式模式:BTC、ETH、XMR、XLM、XRP、LTC、NEC、BCH、DASH。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 35 – crypt-clipper 中使用的正则表达式。

自动运行

Styx Stealer 添加了自动启动功能,以确保加密剪辑器的持续运行。自动启动是通过向注册表项“ SOFTWAREMicrosoftWindowsCurrentVersionRun”添加新条目来实现的,其中条目的名称在窃取程序的配置中指定。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 36 – Styx Stealer 中的自动运行实现。

其他规避技术

如果在配置中启用了加密剪辑器,Styx Stealer 将应用额外的反调试和分析技术。窃取程序启动后,所有检查仅执行一次。

该窃取程序包含与各种调试器和分析软件相关的完整进程名称列表。它会搜索并终止这些进程。

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 37 – Styx Stealer 中的附加反分析功能。

窃取程序会尝试根据特定名称的进程是否存在来检测其是否在虚拟机中运行:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 38 – Styx Stealer 中的附加反虚拟机检查。

Styx Stealer 还能够根据特定工件的组合检测 ANY.RUN 沙盒的沙盒环境:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 39 – Styx Stealer 中的 ANY.RUN 沙盒逃避。

如果检测到虚拟机或沙盒环境(例如 ANY.RUN),Styx Stealer 将启动自我删除并终止其运行:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 40 – Styx Stealer 中的自删除功能。

建造者

Styx 创建者的另一个开发成果是具有图形界面的更新构建器。此工具通过启用或禁用自动启动、加密剪辑器等选项以及指定加密剪辑器替换的区块链地址,使 Styx Stealer 可配置:

揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

图 41 – Styx Stealer 构建器(来自 YouTube 视频的截图)。

结论

Styx Stealer 案例是一个引人注目的例子,说明即使是复杂的网络犯罪行动也可能因基本的安全疏忽而出现失误。Styx Stealer 的创建者在自己的电脑上使用参与 Agent Tesla 活动的客户提供的 Telegram 机器人令牌调试窃取程序,从而泄露了他的个人信息,包括 Telegram 帐户、电子邮件和联系人。这次严重的 OpSec 故障不仅损害了他的匿名性,还提供了有关其他网络犯罪分子的宝贵情报,包括 Agent Tesla 活动的发起者。

我们还想指出,Sty1x 试图为 Fucosreal 分发 Styx Stealer 的尝试失败了。“受害者”包括各种沙箱和虚拟机,只有两个真实系统——Fucosreal 和 Sty1x 使用的计算机。

原文始发于微信公众号(Ots安全):揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月18日21:39:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   揭开 Styx 窃取者的面纱:黑客如何利用失误获得情报宝藏https://cn-sec.com/archives/3076886.html

发表评论

匿名网友 填写信息