В сети новый вирус
Специалисты по компьютерной безопасности из компании CPR сообщили о вирусе Styx Stealer, который ворует большое количество пользовательских данных. Об этом в конце августа 2024 г. говорится в выложенном отчете на сайте компании.
Styx Stealer использует уязвимость во встроенном антивирусе Windows Defender. Впрочем, уязвимость была закрыта еще в прошлом году, поэтому пользователи, своевременно обновляющие свою операционную систему (ОС), остаются в безопасности.
Styx Stealer был обнаружен случайно - один из разработчиков CPR заметил утечку памяти во время поиска ошибок в своем софте. Вирус Styx Stealer создан на базе более старого вредоносного ПО Phemedrone Stealer, который ворует различные данные пользователей-жертв, в том числе пароли, данные криптовалютных кошельков, HTTP-cookie от веб-сайтов из различных браузеров на базе Chromium и Gecko, а также данные из расширений браузера. Вредоносная программа способна подменять адрес получателя криптовалют при подписании транзакции, так что средства уходят на кошелек хакеров. Вирус Styx Stealer использует различные ухищрения, чтобы скрыться от различных антивирусов.
Вирус Styx Stealer собирает системную информацию, включая данные об аппаратном обеспечении и внешний IP-адрес, и может делать скриншоты, чтобы лучше понять окружающую среду перед запуском вредоносной программы. Все эти основные функции унаследованы от Phemedrone Stealer.
По данным CPR, вирус Styx Stealer основан на исходном коде старой версии Phemedrone Stealer, в которой отсутствуют некоторые функции, присутствующие в более новых версиях, такие как отправка отчетов в Telegram, шифрование отчетов и другие. Однако хакер добавил несколько новых функций: автозапуск, монитор буфера обмена и крипто-клиппер, дополнительные методы обхода песочницы и анти-анализа, а также заново реализовал отправку данных в Telegram.
По данным исследователей, если оригинальный Phemedrone Stealer полностью бесплатен, то Styx Stealer распространяется по подписке - $75 за месячную лицензию, $230 за три месяца и $350 за пожизненную подписку. За первые два месяца продаж Styx Stealer его разработчик получил около $9,5 тыс. на восемь кошельков. На сайте нет возможности прямой покупки. На момент подготовки этого отчета потенциальным покупателям необходимо связаться с продавцом через Telegram-аккаунт @styxencode. Специалисты по информационной безопасности (ИБ) из CPR утверждают, что им удалось установить телеграм разработчика, его телефонный номер и контакты.
Защита нужна всем
Случай Styx Stealer - убедительный пример того, как даже сложные киберпреступные операции могут сорваться из-за элементарных упущений в области безопасности.
Разработчик вируса Styx Stealer раскрыл свои личные данные, включая учетные записи Telegram, адреса электронной почты и контакты, отладив стиллер на своем компьютере с помощью токена бота Telegram. Этот критический провал хакера не только поставил под угрозу его анонимность, но и предоставил ценную информацию о других киберпреступниках, включая создателя вируса Agent Tesla.
Попытка же киберпреступника распространить вирус Styx Stealer для Fucosreal провалилась. Среди «жертв» были различные песочницы и виртуальные машины, и только две реальные системы - компьютеры, используемые Fucosreal и Sty1x.
Сбои в мессенджерах
Ночью 19 августа пользователи Telegram пожаловались на масштабный сбой в работе приложения. По данным сервиса «Сбой.рф», о проблеме сообщило одномоментно больше 800 человек. Большинство обращений (77%) поступает из Москвы, еще 7% из Санкт-Петербурга и 2% из Ярославля. Проблемы наблюдаются с работой других мессенджеров - WhatsApp и Viber.
Как следует из данных Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), жалобы поступают из столичного региона, Владикавказа, Перми и Иваново. Большинство сообщений о неполадках пришло от жителей Москвы. О проблемах сообщают как пользователи из России (Санкт-Петербург, Москва), так и из других стран: Финляндия, Турция, Нидерланды.
Как убедился корреспондент с издания РБК, проблемы возникают в работе Telegram на телефоне, но если включен VPN, то сервис работает исправно. Это уже не первый раз, когда в работе мессенджера Telegram наблюдается масштабный сбой.
Поделиться