Malware-Betreiber lässt eigene Kundenliste und Gewinndetails durchsickern
Auch Malware-Betreiber vernachlässigen manchmal ihre operative Sicherheit (OPSEC). So geschehen beim Schöpfer des Informationsstealers „Styx Stealer“, der damit versehentlich Daten von seinem eigenen Computer preisgegeben hat. Diese Daten umfassen Details zu Kunden, Gewinninformationen, Spitznamen, Telefonnummern und E-Mail-Adressen.
Styx Stealer, eine Variante des Phemedrone Stealers, kann laut dem Cybersicherheitsunternehmen Check Point Browserdaten, Sitzungen von Messengern wie Telegram und Discord sowie Kryptowallet-Informationen abgreifen. Der Stealer wurde erstmals im April 2024 entdeckt. „Styx Stealer basiert wahrscheinlich auf dem Code einer alten Version des Phemedrone Stealers, der einige Funktionen neuerer Versionen wie das Senden von Berichten an Telegram oder die Verschlüsselung von Berichten nicht hat“, so das Unternehmen.
Der Ersteller von Styx Stealer hat aber neue Funktionen hinzugefügt: Auto-Start, Überwachung der Zwischenablage, Krypto-Clipper, zusätzliche Techniken zur Umgehung von Sandboxes und Schutz vor Analyse. Außerdem wurde das Senden von Daten an Telegram wieder eingeführt.
Die Malware wird auf einer Website für 75 US-Dollar pro Monat (oder 230 Dollar für drei Monate und 350 Dollar für eine lebenslange Lizenz) angeboten. Käufer müssen sich über ein Telegram-Konto (@styxencode) an den Anbieter wenden. Dieser ist mit einem Hacker aus der Türkei verbunden, der unter dem Namen STY1X auf Cybercrime-Foren bekannt ist.
Check Point fand Verbindungen zwischen STY1X und einer Spam-Kampagne im März 2024, bei der die Agent-Tesla-Malware verbreitet wurde. Diese Kampagne richtete sich gegen Unternehmen in China, Indien, den Philippinen und den Vereinigten Arabischen Emiraten. Agent Tesla wird einem Hacker namens Fucosreal zugeschrieben, der vermutlich in Nigeria lebt.
STY1X machte einen Fehler, indem er den Stealer auf seinem eigenen Computer mit einem Telegram-Bot-Token von Fucosreal testete. Dieser Fehler ermöglichte es der Cybersicherheitsfirma, 54 Kunden und 8 Kryptowallets zu identifizieren, die vermutlich STY1X gehören und für Zahlungen genutzt wurden.
Die Kampagne nutzte die Telegram Bot API, um Daten zu stehlen, anstatt traditionelle Command-and-Control-Server (C&C) zu verwenden, die leichter zu erkennen und zu blockieren sind. Diese Methode hat jedoch einen Nachteil: Jede Malware-Probe muss ein Bot-Token enthalten. Wird die Malware entschlüsselt, kann man auf alle gesendeten Daten zugreifen und das Empfängerkonto aufdecken.
Diese Enthüllung kommt zu einer Zeit, in der neue Stealer-Malware wie Ailurophile, Banshee Stealer und QWERTY auftauchen. Gleichzeitig wird bekannte Malware wie RedLine in Phishing-Angriffen gegen vietnamesische Öl- und Gasunternehmen sowie verschiedene Industrien wie Elektronik, Chemie und Hotels eingesetzt.
„RedLine ist ein bekannter Stealer, der Login-Daten, Kreditkartendaten, den Browserverlauf und sogar Kryptowallets stiehlt“, erklärte das zu Broadcom gehörende Sicherheitsunternehmen Symantec. „Er wird weltweit von verschiedenen Gruppen und Einzelpersonen genutzt. Sobald RedLine installiert ist, sammelt er Daten vom Computer des Opfers und sendet sie an einen entfernten Server oder einen Telegram-Kanal, der von den Angreifern kontrolliert wird.“