Kurios: Malware-Entwickler verrät sich selbst durch Fehler

B2B Cyber Security ShortNews

Beitrag teilen

Die Entlarvung des Styx Stealers: Wie der Ausrutscher eines Hackers zur Entdeckung einer riesigen Datenmenge auf seinem eigenen Computer führte. Der Styx Stealer ist eine neue Malware die auf eine Sicherheitslücke in Windows zielt.

Kurioser Malware-Fall: Die Sicherheitsforscher von Check Point Research (CPR) stellten fest, dass der Entwickler der neuen Malware Styx Stealer während des Debugging einen schweren Fehler beging, der Daten von seinem Computer durchsickern ließ. CPR gelangte auf diese Weise an eine große Menge von Informationen, darunter die Anzahl der Kunden, Gewinne, Spitznamen, Telefonnummern und E-Mail-Adressen sowie ähnliche Daten über den Akteur hinter der Agent-Tesla-Kampagne. Mit einem der Hacker hinter Agent Tesla namens Fucosreal, stand der Styx-Entwickler bei einer großangelegten Spam-Kampagne in Verbindung.

Anzeige

Kleiner Fehler, großer Selbstverrat

Der Styx Stealer ist eine Ableitung des Phemedrone Stealer, der für das Ausnutzen der Sicherheitslücke CVE-2023-36025 in Microsoft Windows Defender SmartScreen berüchtigt ist. Während Styx Stealer die Kernfunktionen von Phemedrone übernimmt, wie das Stehlen von gespeicherten Passwörtern, Cookies, AutoFill-Daten von Browsern, Daten von Krypto-Währungs-Wallets und Instant-Messaging-Sitzungen, enthält Styx Stealer auch erweiterte Funktionen: einen Persistence-Mechanismus, einen Clipboard-Monitor und Crypto-Clipper, zusätzliche Sandbox-Bypassing- und Anti-Analyse-Techniken.

Wie bereits erwähnt, entdeckte CPR auch einen Zusammenhang mit Agent Tesla. Die Agent-Tesla-Malware ist ein fortschrittlicher Remote Access Trojaner (RAT), der auf den Diebstahl sensibler Daten von infizierten Computern spezialisiert ist. Im März 2024 entdeckte CPR eine Spam-Kampagne, welche die Agent-Tesla-Malware verbreitete und die Telegram Bot API zum Datenklau nutzte.

Datenleck beim Malware-Entwickler

Die Extraktion des Telegram-Bot-Tokens aus der Malware führte zum Telegram-Bot, der vom Benutzer Fucosreal erstellt wurde. Bei der Überwachung dieses Bots wurde ein ungewöhnliches Dokument abgefangen, welches dem Phemedrone Stealer ähnelte, aber als Styx Stealer bezeichnet wurde. Dieses Dokument enthielt ein Bildschirmfoto der Visual Studio IDE mit dem Projekt PhemedroneStealer, das ein Telegram-Bot-Token und eine Chat-ID enthielt, die mit dem Beispiel von Agent Tesla übereinstimmten.

Es stellte sich heraus, dass das Leck vom Computer des Entwicklers von Styx Stealer, auch bekannt als Sty1x, ausging. Die Daten aus dem Leck enthüllten zwei Telegram-Konten (@styxencode, @cobrasupports), die der Entwickler verwendete, seine E-Mail-Adressen, Telefonnummern, seinen ungefähren Aufenthaltsort in der Türkei und seine Bewegungen über einen bestimmten Zeitraum. Dadurch wurde auch die Kommunikation von Sty1x mit Kunden und anderen Cyber-Kriminellen, einschließlich Fucosreal, aufgedeckt.

Insgesamt konnten 54 Kunden und 8 Krypto-Währungs-Wallets identifiziert werden, die vermutlich zu Sty1x gehörten und für den Empfang von Zahlungen verwendet wurden. Der Gesamtbetrag, der innerhalb von nur zwei Monaten nach Beginn des Verkaufs von Styx Stealer einging, belief sich auf rund 9500 US-Dollar (8596 Euro).

Mehr bei CheckPoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen

Cyberspionage: Europäische Behörden im Visier – auch Deutschland

Security-Experten haben eine Cyberspionage gegen europäische Behörden entdeckt. Hinter den Angriffen stecken möglicherweise russische Gruppen die auch Behörden in Deutschland ➡ Weiterlesen

SonicWall Firewall-Appliance mit kritischer Schwachstelle

SonicWall informiert über eine kritische 9.8 Schwachstelle in der Appliance vom Typ SMA1000. SonicWall stellt ein entsprechendes Update bereit, welches ➡ Weiterlesen

Nur Hype oder Realität: Vorhersagen Cybersicherheit 2025 

Vorhersagen zur Cybersicherheit gibt es jährlich zuhauf, viele davon sind voller Übertreibungen. Sinnvoller ist es, den Blick auf Daten und ➡ Weiterlesen

Angriffe 2024: Anmeldedaten waren häufigstes Ziel

Ein Report hat Cyberattacken in 2024 analysiert und dabei festgestellt: Die meisten Angreifer brechen nicht ein, sondern loggen sich mit ➡ Weiterlesen

Microsoft Teams: E-Mail-Bombing und Voice Phishing

Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor für ihre Angriffe. Sie versuchen dann Daten abzuziehen oder Ransomware zu platzieren. Mit im ➡ Weiterlesen

Sicherheitszertifizierung FIPS 140-3 Level 3

Ein Spezialist für hardwareverschlüsselte USB-Laufwerke und die zentrale USB-Laufwerksverwaltung SafeConsole, ist mit mehreren Speichergeräten auf der FIPS 140-3 Modules-In-Process-Liste der ➡ Weiterlesen