Nossa equipe de especialistas da Check Point Research (CPR) descobriu recentemente o Styx Stealer, um novo malware capaz de roubar dados de navegadores, sessões de mensageiros instantâneos do Telegram e Discord e criptomoedas. Embora tenha surgido pouco tempo atrás, já foi identificado em ataques, incluindo aqueles direcionados a diversas empresas e setores.
O desenvolvedor do Styx Stealer foi identificado como tendo ligação com um dos agentes de ameaça do AgentTesla, conhecido como Fucosreal, que esteve envolvido em uma campanha de spam.
Durante a depuração do Styx Stealer, o desenvolvedor cometeu um erro fatal e vazou dados de seu próprio computador, permitindo que a equipe da CPR obtivesse uma grande quantidade de informações, incluindo o número de clientes, informações de lucros, apelidos, números de telefone e endereços de e-mail, bem como dados semelhantes sobre o agente por trás da campanha do AgentTesla.
Introdução
No mundo sombrio do cibercrime, até mesmo os hackers mais astutos podem cometer erros que expõem suas operações. Neste artigo, descrevo a descoberta do Styx Stealer, uma nova variante de malware derivada do notório Phemedrone Stealer. A investigação da CPR revelou erros críticos por parte do desenvolvedor do Styx Stealer, incluindo uma falha significativa de segurança operacional (OpSec) que vazou informações sensíveis de seu próprio computador.
As raízes do Styx Stealer podem ser rastreadas até o Phemedrone Stealer, que se tornou amplamente conhecido no início de 2024, quando a vulnerabilidade CVE-2023-36025 no Microsoft Windows Defender SmartScreen foi explorada para entregar este malware. O Phemedrone era anteriormente disponível gratuitamente no GitHub, mas o repositório e as contas associadas foram removidos, dando origem a vários forks. Entre esses forks, surgiu o Styx Stealer, oferecido à venda no site styxcrypter[.]com.
Styx Stealer
O Styx Stealer é um malware poderoso capaz de roubar senhas salvas, cookies e dados de preenchimento automático de vários navegadores baseados em Chromium e Gecko, dados de extensões de navegadores, dados de carteiras de criptomoedas e sessões do Telegram e Discord. Ele também coleta informações do sistema, incluindo informações de hardware e o endereço IP externo, e pode tirar capturas de tela para melhor entender o ambiente antes de lançar o malware. Todas essas funções principais são herdadas do Phemedrone Stealer.
Essa análise indica que o Styx Stealer é provavelmente baseado no código-fonte de uma versão antiga do Phemedrone Stealer, que carece de alguns recursos encontrados em versões mais recentes, como envio de relatórios para o Telegram, criptografia de relatórios e mais. No entanto, o criador do Styx Stealer adicionou alguns novos recursos: inicialização automática, monitor de área de transferência e crypto-clipper, evasão de sandbox adicional e técnicas antianálise, além de envio de dados reimplementado para o Telegram.
Encontramos os primeiros anúncios do Stealer em abril de 2024, coincidindo com o lançamento do site styxcrypter[.]com, que vende o Styx Stealer.
Embora o Phemedrone Stealer original seja completamente gratuito, o Styx Stealer é distribuído por assinatura — US$75 para uma licença mensal, US$230 para três meses e US$350 para uma assinatura vitalícia. O site não oferece uma opção de compra direta. No momento deste relatório, os potenciais compradores precisam contatar o vendedor por meio da conta de Telegram @styxencode.
O nome do site sugere que ele foi criado inicialmente para vender outro produto — o Styx Crypter, software projetado para proteger contra análise e detecção por programas antivírus.
Uma demonstração do Styx Stealer e Styx Crypter foi encontrada anteriormente no canal Styx no YouTube, mas atualmente está indisponível. Notavelmente, como outros crypters descritos em publicações anteriores, o Styx Crypter é comercializado como uma ferramenta legítima para proteção de software.