MÜNCHEN (IT BOLTWISE) – Check Point Research deckt Sicherheitslücke im Styx Stealer auf, die den Hacker hinter der Malware entlarvt.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die Sicherheitsforscher von Check Point Research (CPR) sind auf einen ungewöhnlichen Fall gestoßen: Ein fataler Fehler des Entwicklers der neuen Malware Styx Stealer führte dazu, dass dieser versehentlich eine Vielzahl sensibler Daten seines Computers preisgab.
Der Styx Stealer ist eine Weiterentwicklung des Phemedrone Stealer, einer berüchtigten Malware, die die Sicherheitslücke CVE-2023-36025 in Microsoft Windows Defender SmartScreen ausnutzt. Neben den herkömmlichen Funktionen des Phemedrone, wie dem Stehlen von Passwörtern, Cookies, AutoFill-Daten von Browsern und Informationen aus Krypto-Währungs-Wallets, bietet Styx Stealer erweiterte Features wie einen Persistence-Mechanismus, einen Clipboard-Monitor und Crypto-Clipper-Funktionen. Letztere ermöglichen es, Krypto-Währung zu stehlen, indem die Wallet-Adresse des Opfers durch die Adresse des Angreifers ersetzt wird.
Ein entscheidender Fehler des Entwicklers, der unter dem Pseudonym Sty1x bekannt ist, ließ CPR nicht nur die Funktionsweise der Malware enthüllen, sondern auch eine Fülle von Daten des Hackers selbst. Diese umfassen unter anderem Telegram-Konten, E-Mail-Adressen, Telefonnummern und den ungefähren Aufenthaltsort des Entwicklers in der Türkei.
Die Analyse des Styx Stealer führte zu der Entdeckung, dass dieser in einer großangelegten Spam-Kampagne mit der berüchtigten Agent-Tesla-Malware in Verbindung stand. Agent Tesla, ein fortschrittlicher Remote Access Trojaner (RAT), ist für den Diebstahl sensibler Daten von infizierten Computern bekannt und wurde in einer im März 2024 von CPR entdeckten Kampagne eingesetzt, die insbesondere auf Unternehmen in China, Indien, den Vereinigten Arabischen Emiraten und den Philippinen abzielte.
Die Sicherheitslücke von Sty1x führte dazu, dass CPR über den Telegram-Bot der Malware auf detaillierte Informationen über den Entwickler und seine kriminellen Aktivitäten zugreifen konnte. Darunter fielen auch Daten zu 54 Kunden und 8 Krypto-Währungs-Wallets, die in den ersten zwei Monaten nach Verkaufsstart des Styx Stealer verwendet wurden. Der dadurch generierte Umsatz betrug etwa 9500 US-Dollar.
Die enge Zusammenarbeit zwischen Sty1x und einem weiteren Cyber-Kriminellen namens Fucosreal, der hinter der Agent-Tesla-Kampagne steht, wurde ebenfalls durch das Datenleck enthüllt. Fucosreal hatte dem Styx Stealer Entwickler über Telegram ein Bot-Token zur Integration in die Malware zur Verfügung gestellt, um gestohlene Daten zu exfiltrieren.
Schlussfolgerung und Empfehlungen
Diese Vorfälle verdeutlichen die Risiken, die mit der Nutzung der Telegram Bot API für kriminelle Zwecke verbunden sind. Obwohl diese Methode weniger auffällig ist als traditionelle Command-and-Control-Server, birgt sie das Risiko, dass durch das Entschlüsseln der Malware kritische Informationen über den Angreifer offengelegt werden.
Der Fall von Styx Stealer zeigt, wie leichtsinnig Fehler in der Operations Security (OpSec) die Anonymität von Cyber-Kriminellen gefährden können. Auch wenn diese Kriminellen nicht sofort verhaftet werden, wissen sie, dass ihre Aktivitäten überwacht werden und dass jede Fortsetzung ihrer kriminellen Handlungen zu noch detaillierteren Beweisen gegen sie führt.
Um sich gegen solche Bedrohungen zu schützen, sollten Unternehmen ihre Betriebssysteme und Anwendungen stets auf dem neuesten Stand halten und regelmäßig Patches einspielen. Zudem ist Vorsicht bei unerwarteten E-Mails geboten, insbesondere wenn diese Links von unbekannten Absendern enthalten. Es empfiehlt sich auch, das Bewusstsein der Mitarbeiter für Cyber-Sicherheit zu schärfen und bei Zweifeln die Beratung durch Sicherheitsexperten in Anspruch zu nehmen.
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Styx Stealer: Hacker offenbart versehentlich eigene Daten".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Styx Stealer: Hacker offenbart versehentlich eigene Daten" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Styx Stealer: Hacker offenbart versehentlich eigene Daten" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.