Die Entlarvung des Styx Stealers: Wie der Ausrutscher eines Hackers zur Entdeckung einer riesigen Datenmenge auf seinem eigenen Computer führte. Der Styx Stealer ist eine neue Malware die auf eine Sicherheitslücke in Windows zielt.
Kurioser Malware-Fall: Die Sicherheitsforscher von Check Point Research (CPR) stellten fest, dass der Entwickler der neuen Malware Styx Stealer während des Debugging einen schweren Fehler beging, der Daten von seinem Computer durchsickern ließ. CPR gelangte auf diese Weise an eine große Menge von Informationen, darunter die Anzahl der Kunden, Gewinne, Spitznamen, Telefonnummern und E-Mail-Adressen sowie ähnliche Daten über den Akteur hinter der Agent-Tesla-Kampagne. Mit einem der Hacker hinter Agent Tesla namens Fucosreal, stand der Styx-Entwickler bei einer großangelegten Spam-Kampagne in Verbindung.
Kleiner Fehler, großer Selbstverrat
Der Styx Stealer ist eine Ableitung des Phemedrone Stealer, der für das Ausnutzen der Sicherheitslücke CVE-2023-36025 in Microsoft Windows Defender SmartScreen berüchtigt ist. Während Styx Stealer die Kernfunktionen von Phemedrone übernimmt, wie das Stehlen von gespeicherten Passwörtern, Cookies, AutoFill-Daten von Browsern, Daten von Krypto-Währungs-Wallets und Instant-Messaging-Sitzungen, enthält Styx Stealer auch erweiterte Funktionen: einen Persistence-Mechanismus, einen Clipboard-Monitor und Crypto-Clipper, zusätzliche Sandbox-Bypassing- und Anti-Analyse-Techniken.
Wie bereits erwähnt, entdeckte CPR auch einen Zusammenhang mit Agent Tesla. Die Agent-Tesla-Malware ist ein fortschrittlicher Remote Access Trojaner (RAT), der auf den Diebstahl sensibler Daten von infizierten Computern spezialisiert ist. Im März 2024 entdeckte CPR eine Spam-Kampagne, welche die Agent-Tesla-Malware verbreitete und die Telegram Bot API zum Datenklau nutzte.
Datenleck beim Malware-Entwickler
Die Extraktion des Telegram-Bot-Tokens aus der Malware führte zum Telegram-Bot, der vom Benutzer Fucosreal erstellt wurde. Bei der Überwachung dieses Bots wurde ein ungewöhnliches Dokument abgefangen, welches dem Phemedrone Stealer ähnelte, aber als Styx Stealer bezeichnet wurde. Dieses Dokument enthielt ein Bildschirmfoto der Visual Studio IDE mit dem Projekt PhemedroneStealer, das ein Telegram-Bot-Token und eine Chat-ID enthielt, die mit dem Beispiel von Agent Tesla übereinstimmten.
Es stellte sich heraus, dass das Leck vom Computer des Entwicklers von Styx Stealer, auch bekannt als Sty1x, ausging. Die Daten aus dem Leck enthüllten zwei Telegram-Konten (@styxencode, @cobrasupports), die der Entwickler verwendete, seine E-Mail-Adressen, Telefonnummern, seinen ungefähren Aufenthaltsort in der Türkei und seine Bewegungen über einen bestimmten Zeitraum. Dadurch wurde auch die Kommunikation von Sty1x mit Kunden und anderen Cyber-Kriminellen, einschließlich Fucosreal, aufgedeckt.
Insgesamt konnten 54 Kunden und 8 Krypto-Währungs-Wallets identifiziert werden, die vermutlich zu Sty1x gehörten und für den Empfang von Zahlungen verwendet wurden. Der Gesamtbetrag, der innerhalb von nur zwei Monaten nach Beginn des Verkaufs von Styx Stealer einging, belief sich auf rund 9500 US-Dollar (8596 Euro).
Mehr bei CheckPoint.com
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.