Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга



Reply
 
Thread Tools Display Modes
  #1  
Old 01-25-2025, 07:14 AM

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


Исследователи Check Point проследили путь от Agent Tesla до хакера Sty1x.

https://research.checkpoint.com/2024...reasure-trove/ обнаружила серьезную ошибку операционной безопасности в новой вредоносной программе Styx Stealer, которая позволила исследователям выследить и разоблачить ее автора. Компания утверждает, что разработчик заразил их собственный компьютер. Именно благодаря этому стилер удалось связать с турецким хакером, известным под псевдонимом Sty1x.
Styx Stealer представляет собой модифицированную версию вредоносного ПО Phemedrone Stealer, которое стало широко известно в начале 2024 года после эксплуатации уязвимости CVE-2023-36025 в Microsoft Windows Defender SmartScreen. Новый вредонос унаследовал основные функции Phemedrone, включая кражу паролей, файлов cookie и данных автозаполнения из браузеров, а также информации из криптовалютных кошельков.
В Check Point обнаружили, что Styx Stealer продается на сайте styxcrypter[.]com по подписке: $75 за месячную лицензию, $230 за три месяца и $350 за пожизненную подписку. Покупателям предлагают связаться с продавцом через Telegram-аккаунт @styxencode.
Во время отладки вредоносной программы Sty1x случайно загрузил архив с данными со своего компьютера в Telegram-бот, который использовался в кампании по распространению другого вредоноса — Agent Tesla. Этот архив содержал скриншот рабочего стола разработчика с открытым проектом Visual Studio под названием «PhemedroneStealer» и процессом отладки «Styx-Stealer.exe». На скриншоте также был виден файл Program.cs с жестко закодированным токеном Telegram-бота и ID чата, которые совпадали с данными, извлеченными из образца Agent Tesla.
Анализируя полученные данные, исследователи Check Point смогли установить, что создатель Styx Stealer использует два Telegram-аккаунта: @styxencode и @cobrasupports. Они также определили, что разработчик находится в Турции, отследив его перемещения по стране на основе данных о входе в аккаунты.
Дальнейшее расследование показало связь между создателем Styx Stealer и нигерийским киберпреступником с ником Fucosreal (также использующим псевдоним @Mack_Sant). Именно Fucosreal предоставил токен Telegram-бота, который использовал Sty1x при отладке своего ПО.
Check Point удалось восстановить цепочку событий: Sty1x добавил функцию отправки данных через Telegram и протестировал ее на своем собственном боте. Затем он убедил @Mack_Sant запустить ту же сборку стилера на его компьютере. После этого Sty1x вставил токен от бота @joemmBot, присланный @Mack_Sant, в программу.
Sty1x, вероятно, занимается и другой киберпреступной деятельностью. Аналитики нашли доказательства того, что он использовал открытый стилер Umbral и, возможно, был связан с одноименной группировкой.
За два месяца с 18 апреля 2024 года создатель Styx Stealer получил около $9,500 от продажи своего продукта. Check Point идентифицировала 54 клиента и 8 криптовалютных кошельков, предположительно принадлежащих Sty1x. Как показал технический анализ, Styx Stealer основан на более ранней версии Phemedrone Stealer, выпущенной до сентября 2023 года. Однако в него были добавлены новые функции, такие как мониторинг буфера обмена, криптоджекинг и автозапуск. Он включает дополнительные методы уклонения от обнаружения, включая проверку на наличие процессов, связанных с отладчиками и аналитическим ПО, а также обнаружение виртуальных машин и песочниц.
Reply

Tags
NULL


Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is On

Forum Jump




All times are GMT. The time now is 05:51 PM.