Найти тему
Apple SPb Event

Разработчик вредоносного софта случайно разоблачил сам себя

Эксперты по информационной безопасности из профильной компании Check Point сообщили о выявлении серьёзной уязвимости операционной безопасности в новом вредоносном программном обеспечении под названием Styx Stealer. Благодаря этой находке специалисты смогли выследить и разоблачить разработчика.

Аналитики из Check Point утверждают, что автор вредоносного ПО смог заразить вирусом их компьютер, и именно за счёт этого инфостилер удалось связать с хакером из Турции, известным в теневом сегменте интернета под псевдонимом Sty1x.

Эксперты подчёркивают, что Styx Stealer является модифицированной версией вредоносного программного обеспечения Phemedrone Stealer, которое киберпреступники распространяли ещё в январе 2024 года в процессе эксплуатации уязвимости с идентификатором CVE-2023-36025 в Microsoft Windows Defender SmartScreen.

Вредоносный софт турецкого хакера унаследовал основной функционал, в том числе возможность кражи учётных данных пользователя от различных сервисов, cookie-файлов и данных автозаполнения из браузеров, а также сведений из криптовалютных кошельков.

В компании Check Point рассказали, что вредоносное ПО Styx Stealer заинтересованные киберпреступники сегодня могут приобрести на сайте styxcrypter[.]com в формате подписки: $75 за лицензию на месяц, $230 за три месяца и $350 за безлимитное пользование. Для приобретения вредоносного софта покупателям предлагается связаться через аккаунт @styxencode в мессенджере.

Аналитики уточнили, что в процессе отладки своего вредоносного ПО турецкий хакер непреднамеренно загрузил архив с информацией со своего компьютера в Telegram-бот, который применялся для распространения другого вредоносного софта под названием Agent Tesla. В этом архиве был скриншот рабочего стола автора вируса с открытым проектом Visual Studio под названием «PhemedroneStealer» и процессом отладки «Styx-Stealer.exe». Специалисты по информационной безопасности на этом же скриншоте нашли файл Program.cs с жёстко закодированным токеном Telegram-бота и ID чата, совпавшими с информацией, извлечённой из образца Agent Tesla.

После анализа обнаруженной информации эксперты установили, что разработчик вредоносного ПО применяет два Telegram-аккаунта: @styxencode и @cobrasupports. Специалисты определили, что автор вредоноса проживает в Турции, а затем отследили его перемещения по стране, используя сведения об авторизации в Telegram-аккаунтах.

Ещё по теме: