Styx Stealer: Hacker offenbart versehentlich eigene Daten

MÜNCHEN (IT BOLTWISE) – Check Point Research deckt Sicherheitslücke im Styx Stealer auf, die den Hacker hinter der Malware entlarvt.

Die Sicherheitsforscher von Check Point Research (CPR) sind auf einen ungewöhnlichen Fall gestoßen: Ein fataler Fehler des Entwicklers der neuen Malware Styx Stealer führte dazu, dass dieser versehentlich eine Vielzahl sensibler Daten seines Computers preisgab.

Der Styx Stealer ist eine Weiterentwicklung des Phemedrone Stealer, einer berüchtigten Malware, die die Sicherheitslücke CVE-2023-36025 in Microsoft Windows Defender SmartScreen ausnutzt. Neben den herkömmlichen Funktionen des Phemedrone, wie dem Stehlen von Passwörtern, Cookies, AutoFill-Daten von Browsern und Informationen aus Krypto-Währungs-Wallets, bietet Styx Stealer erweiterte Features wie einen Persistence-Mechanismus, einen Clipboard-Monitor und Crypto-Clipper-Funktionen. Letztere ermöglichen es, Krypto-Währung zu stehlen, indem die Wallet-Adresse des Opfers durch die Adresse des Angreifers ersetzt wird.

Ein entscheidender Fehler des Entwicklers, der unter dem Pseudonym Sty1x bekannt ist, ließ CPR nicht nur die Funktionsweise der Malware enthüllen, sondern auch eine Fülle von Daten des Hackers selbst. Diese umfassen unter anderem Telegram-Konten, E-Mail-Adressen, Telefonnummern und den ungefähren Aufenthaltsort des Entwicklers in der Türkei.

Die Analyse des Styx Stealer führte zu der Entdeckung, dass dieser in einer großangelegten Spam-Kampagne mit der berüchtigten Agent-Tesla-Malware in Verbindung stand. Agent Tesla, ein fortschrittlicher Remote Access Trojaner (RAT), ist für den Diebstahl sensibler Daten von infizierten Computern bekannt und wurde in einer im März 2024 von CPR entdeckten Kampagne eingesetzt, die insbesondere auf Unternehmen in China, Indien, den Vereinigten Arabischen Emiraten und den Philippinen abzielte.

Die Sicherheitslücke von Sty1x führte dazu, dass CPR über den Telegram-Bot der Malware auf detaillierte Informationen über den Entwickler und seine kriminellen Aktivitäten zugreifen konnte. Darunter fielen auch Daten zu 54 Kunden und 8 Krypto-Währungs-Wallets, die in den ersten zwei Monaten nach Verkaufsstart des Styx Stealer verwendet wurden. Der dadurch generierte Umsatz betrug etwa 9500 US-Dollar.

Die enge Zusammenarbeit zwischen Sty1x und einem weiteren Cyber-Kriminellen namens Fucosreal, der hinter der Agent-Tesla-Kampagne steht, wurde ebenfalls durch das Datenleck enthüllt. Fucosreal hatte dem Styx Stealer Entwickler über Telegram ein Bot-Token zur Integration in die Malware zur Verfügung gestellt, um gestohlene Daten zu exfiltrieren.

Schlussfolgerung und Empfehlungen

Diese Vorfälle verdeutlichen die Risiken, die mit der Nutzung der Telegram Bot API für kriminelle Zwecke verbunden sind. Obwohl diese Methode weniger auffällig ist als traditionelle Command-and-Control-Server, birgt sie das Risiko, dass durch das Entschlüsseln der Malware kritische Informationen über den Angreifer offengelegt werden.

Der Fall von Styx Stealer zeigt, wie leichtsinnig Fehler in der Operations Security (OpSec) die Anonymität von Cyber-Kriminellen gefährden können. Auch wenn diese Kriminellen nicht sofort verhaftet werden, wissen sie, dass ihre Aktivitäten überwacht werden und dass jede Fortsetzung ihrer kriminellen Handlungen zu noch detaillierteren Beweisen gegen sie führt.

Um sich gegen solche Bedrohungen zu schützen, sollten Unternehmen ihre Betriebssysteme und Anwendungen stets auf dem neuesten Stand halten und regelmäßig Patches einspielen. Zudem ist Vorsicht bei unerwarteten E-Mails geboten, insbesondere wenn diese Links von unbekannten Absendern enthalten. Es empfiehlt sich auch, das Bewusstsein der Mitarbeiter für Cyber-Sicherheit zu schärfen und bei Zweifeln die Beratung durch Sicherheitsexperten in Anspruch zu nehmen.