Die Krypto-Clipping-Malware „Styx Stealer“ zielt auf Windows-Computer ab

Als erfahrener Cybersicherheitsanalyst mit über zwei Jahrzehnten Erfahrung kann ich mit Zuversicht sagen, dass die Entstehung von Styx Stealer eine weitere deutliche Erinnerung an die sich ständig weiterentwickelnde Bedrohungslandschaft ist, in der wir uns heute befinden. Besonders besorgniserregend ist die Tatsache, dass diese Malware eine bekannte Schwachstelle in der SmartScreen-Funktion von Windows Defender ausnutzt, einem Tool, das Benutzer vor potenziellem Schaden schützen soll.

Styx Stealer, eine neue Malware, stiehlt heimlich Kryptowährungen von Windows-basierten Computern.

Styx wurde erstmals im April vom Cybersicherheitsunternehmen Check Point Research entdeckt und stellte sich als eine verbesserte Version der Phemodrone Stealer-Malware heraus. Diese Schadsoftware nutzte eine inzwischen behobene Schwachstelle in Windows aus, um Kryptowährungstransaktionen abzufangen und vertrauliche Informationen von infizierten Systemen zu stehlen. Zu den gestohlenen Daten gehörten private Schlüssel, Browser-Cookies, automatisch ausgefüllte Daten für Browser und mehr.

Im Jahr 2024 erlangte Phemodrone etwa zu Beginn des Jahres zunächst Aufmerksamkeit. Anders als Styx Stealer zielte es in erster Linie auf Webbrowser ab, um Kryptowährungs-Wallets zu leeren und gleichzeitig zusätzliche Daten zu sammeln.

Vereinfacht ausgedrückt nutzen beide Arten von Schadsoftware (Malware) eine ähnliche Schwachstelle im integrierten Antivirenprogramm für Windows namens Windows Defender aus. Dieser Fehler ist auf eine ältere Sicherheitslücke in der SmartScreen-Funktion zurückzuführen, die Benutzer vor potenziell riskanten Websites und Downloads warnen soll. Diese Malware hat jedoch gelernt, stattdessen diese Schwachstelle auszunutzen.

Andererseits birgt Styx aufgrund seiner Krypto-Clipping-Funktionalität neue Gefahren. Im Wesentlichen verfolgt diese Schadsoftware Änderungen in der Zwischenablage und tauscht alle kopierten Kryptowährungs-Wallet-Adressen mit denen aus, die vom Angreifer kontrolliert werden.

Zuvor war bekannt, dass das Phorpiex-Botnetz diese Technik nutzte, um Kryptotransaktionen zu kapern. 

Als Forscher habe ich herausgefunden, dass die Ergebnisse von Check Point Research darauf hinweisen, dass das Tool Styx in der Lage ist, Wallet-Adressen über neun verschiedene Blockchains hinweg zu identifizieren. Dazu gehören Bitcoin (BTC), Ethereum (ETH), Monero (XMR), Ripple (XRP), Litecoin (LTC), Bitcoin Cash (BCH), Stellar (XLM), Dash (DASH) und Neo (NEO).

Als Forscher habe ich festgestellt, dass bestimmte Arten von Daten, insbesondere solche, die aus Browsererweiterungen, Telegram und Discord stammen, in Chromium- und Gecko-basierten Webbrowsern besonders anfällig sind.

Der Ersteller der Schadsoftware verfügt über eine automatische Startfunktion und ein benutzerfreundliches Grafikdesign, sodass Cyberkriminelle sie mühelos anpassen und verbreiten können.

Styx verfügt über Mittel, um seine Aktivitäten zu verbergen, einschließlich Methoden, die seine Funktionen verschleiern. Es soll eine Erkennung verhindern, indem es Prozesse beendet, die mit Debugging-Software verknüpft sind, und die Einstellungen virtueller Maschinen identifiziert. Wenn eine virtuelle Maschinenumgebung entdeckt wird, zerstört sich der Styx Thief automatisch selbst.

Verfügbar per Telegram

1. Die Verbreitung und der Handel dieser Malware werden persönlich über das Telegram-Konto @styxencode und die Website styxcrypter.com abgewickelt. Darüber hinaus hat das Center for Internet Security (CIS) Werbematerialien wie Anzeigen und YouTube-Videos gefunden, die die schädliche Software unterstützen.

Über 54 Personen haben Zahlungen in Höhe von insgesamt rund 9.500 US-Dollar an den Styx-Entwickler geleistet und dabei verschiedene Arten von Kryptowährungen wie Bitcoin und Litecoin verwendet. Im Gegensatz zur Folgeversion ist diese Malware nicht kostenlos; Stattdessen wird es mit einem Monatsabonnement für 75 US-Dollar, einem Dreimonatsplan für 230 US-Dollar oder einem lebenslangen Zugang für 350 US-Dollar angeboten.

Die Höhe der gestohlenen Kryptogelder oder das Ausmaß der mit Styx infizierten Systeme bleiben unklar.

Laut einem Bericht von Kaspersky Lab Anfang des Jahres wurde entdeckt, dass eine Art Schadsoftware, die darauf ausgelegt ist, Kryptowährungen zu stehlen, das MacOS-Betriebssystem von Apple infiltriert hat. Diese Malware zielte speziell auf digitale Geldbörsen von Bitcoin und Exodus ab, indem sie sich als Originalsoftware tarnte, jedoch subtile Änderungen aufwies.

Mit dem Wachstum des Kryptowährungsmarktes nehmen auch die Versuchung und die Rentabilität von Hacks und Diebstählen zu, was jedes Jahr zu erheblichen finanziellen Verlusten führt. Bemerkenswert ist, dass sich einige berüchtigte Cyberkriminelle dazu entschließen, sich aus dieser Branche zurückzuziehen.

Letzten Monat stellte Angel Drainer, eine Drainer-as-a-Service-Malware, die für Diebstähle im Wert von über 25 Millionen US-Dollar verantwortlich war, den Betrieb ein. Im November stellte der Multi-Chain-Krypto-Betrugsdienst Inferno Drainer seine Dienste ein. 

Weiterlesen

2024-08-18 15:32