Un nuevo malware llamado Styx Stealer ha filtrado datos desde su propia computadora, incluyendo detalles relacionados con clientes, información financiera, apodos, números de teléfono y direcciones de correo electrónico, lo que representa un caso de error de seguridad operacional (OPSEC). Se descubrió que Styx Stealer, un derivado del Phemedrone Stealer, tiene la capacidad de robar datos del navegador y sesiones de mensajería instantánea de Telegram y Discord, así como información de billetera de criptomonedas. Según Check Point, esta amenaza surgió por primera vez en abril de 2024.
La empresa de ciberseguridad también señaló que Styx Stealer probablemente está basado en una versión antigua de Phemedrone Stealer, pero con la adición de nuevas características como autoinicio, monitor de portapapeles y crypto-clipper, así como evasión de sandbox adicional y técnicas de anti-análisis. El malware se vende por $75 al mes (o $230 por tres meses o $350 por una suscripción de por vida) en un sitio web dedicado y los compradores potenciales deben comunicarse a través de una cuenta de Telegram vinculada a un actor de amenazas con base en Turquía que usa el seudónimo STY1X en foros de cibercrimen.
Check Point también descubrió conexiones entre STY1X y una campaña de spam de marzo de 2024 que distribuía el malware Agent Tesla, dirigido a varios sectores en China, India, Filipinas y los Emiratos Árabes Unidos. Se estableció que STY1X depuró el malware en su propia máquina usando un token de bot de Telegram proporcionado por un actor de amenazas llamado Fucosreal, lo que permitió a la empresa de ciberseguridad identificar hasta 54 clientes y 8 billeteras de criptomonedas.
La divulgación de esta información es relevante ya que coincide con el surgimiento de nuevas variantes de malware roba información como Ailurophile, Banshee Stealer y QWERTY, además de otros como RedLine usados en ataques de phishing dirigidos a diferentes industrias. Según Symantec, RedLine es un roba información conocido que apunta a credenciales de inicio de sesión, detalles de tarjetas de crédito, historial de navegación e incluso billeteras de criptomonedas. Una vez instalado, este tipo de malware recopila datos de la computadora de la víctima y los envía a un servidor remoto o canal de Telegram controlado por los atacantes.
Vía The Hacker News
