21 de agosto de 2024Ravie LakshmananEspionaje cibernético / Inteligencia de amenazas En lo que es un caso de falla de seguridad operativa (OPSEC), el operador detrás de un nuevo ladrón de información llamado Styx Stealer filtró datos de su propia computadora, incluidos detalles relacionados con los clientes, información de ganancias, apodos, números de teléfono y direcciones de correo electrónico. Styx Stealer, un derivado de Phemedrone Stealer, es capaz de robar datos del navegador, sesiones de mensajería instantánea de Telegram y Discord e información de billeteras de criptomonedas, dijo la empresa de ciberseguridad Check Point en un análisis. Surgió por primera vez en abril de 2024. «Styx Stealer probablemente se basa en el código fuente de una versión antigua de Phemedrone Stealer, que carece de algunas funciones que se encuentran en versiones más nuevas, como enviar informes a Telegram, cifrado de informes y más», señaló la empresa. «Sin embargo, el creador de Styx Stealer agregó algunas características nuevas: inicio automático, monitor de portapapeles y criptoclipper, evasión de sandbox adicional y técnicas anti-análisis, y volvió a implementar el envío de datos a Telegram». Se anuncia por $75 al mes (o $230 por tres meses o $350 por una suscripción de por vida) en un sitio web dedicado («styxcrypter[.]com»), las licencias para el malware requieren que los posibles compradores se comuniquen con una cuenta de Telegram (@styxencode). Está vinculado a un actor de amenazas con sede en Turquía que usa el alias STY1X en los foros de delitos cibernéticos. Check Point dijo que pudo descubrir conexiones entre STY1X y una campaña de spam de marzo de 2024 que distribuía malware Agent Tesla que apuntaba a varios sectores en China, India, Filipinas y los Emiratos Árabes Unidos. La actividad de Agent Tesla ha sido relacionada con un actor de amenazas llamado Fucosreal, cuya ubicación aproximada está en Nigeria. Esto fue posible debido al hecho de que STY1X depuró al ladrón en su propia máquina usando un token de bot de Telegram proporcionado por Fucosreal. Este error fatal permitió a la empresa de ciberseguridad identificar hasta 54 clientes y 8 billeteras de criptomonedas, probablemente pertenecientes a STY1X, que se dice que se usaron para recibir los pagos. «Esta campaña fue notable por su uso de la API de bot de Telegram para la exfiltración de datos, aprovechando la infraestructura de Telegram en lugar de la tradicional «Los servidores de comando y control (C&C), que son más fáciles de detectar y bloquear», señaló Check Point. «Sin embargo, este método tiene un defecto importante: cada muestra de malware debe contener un token de bot para la autenticación. Descifrar el malware para extraer este token proporciona acceso a todos los datos enviados a través del bot, exponiendo la cuenta del destinatario». La revelación se produce en medio de la aparición de nuevas cepas de malware ladrón como Ailurophile, Banshee Stealer y QWERTY, incluso cuando ladrones conocidos como RedLine se están utilizando en ataques de phishing dirigidos a fabricantes de petróleo y gas, industriales, eléctricos y de HVAC vietnamitas, industrias de pintura, química y hotelera. «RedLine es un ladrón conocido que apunta a credenciales de inicio de sesión, detalles de tarjetas de crédito, historial del navegador e incluso billeteras de criptomonedas», dijo Symantec, propiedad de Broadcom. «Lo utilizan activamente varios grupos e individuos en todo el mundo». «Una vez instalado, recopila datos de la computadora de la víctima y los envía a un servidor remoto o canal de Telegram controlado por los atacantes». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.