Styx Stealer 是一種新惡意軟件，它會偷偷地從基於 Windows 的計算機中竊取加密貨幣。

網絡安全公司 Check Point Research 於 4 月首次發現 Styx 是 Phemodrone Stealer 的增強版。該惡意軟件利用現已修補的 Windows 漏洞，劫持加密貨幣交易並從受感染的系統中竊取敏感數據，例如私鑰、瀏覽器 cookie，甚至自動填充瀏覽器數據。

Phemodrone 於 2024 年初首次引起轟動。與 Styx Stealer 不同，它專注於網絡瀏覽器，從錢包中竊取加密貨幣以及其他信息。

這兩種惡意軟件都利用了操作系統原生防病毒軟件 Windows Defender 中的相同漏洞，利用了防病毒軟件 SmartScreen 功能中的一箇舊漏洞，該功能旨在警告用戶有關潛在有害的網站和下載。

然而，Styx 增加了加密剪切機制，帶來了新的威脅。基本上，惡意軟件會監視剪貼板的變化，然後將複製的加密貨幣錢包地址替換爲攻擊者的地址。

此前，Phorpiex 殭屍網絡已知使用這種技術來劫持加密交易。

根據 Check Point Research 的研究結果，Styx 可以識別九種區塊鏈的錢包地址，包括比特幣 (BTC)、以太坊 (ETH)、門羅幣 (XMR)、瑞波幣 (XRP)、萊特幣 (LTC)、比特幣現金 (BCH)、恆星幣 (XLM)、達世幣 (DASH) 和 Neo (NEO)。

基於 Chromium 和 Gecko 的瀏覽器、來自瀏覽器擴展、Telegram 和 Discord 的數據尤其容易受到攻擊。

該惡意軟件的構建器具有自動運行功能和用戶友好的圖形界面，使網絡犯罪分子更容易定製和部署它。

Styx Stealer 用戶界面 | 來源：Check Point Research

Styx 還配備了基本的反分析技術來掩蓋其操作。爲了逃避檢測，它會終止與調試工具相關的進程並檢測虛擬機環境。如果檢測到這樣的環境，Styx Stealer 就會啓動自我刪除。

你可能還喜歡：報告稱，加密惡意軟件 Angel Drainer 在識別出開發者後被關閉

可通過 Telegram 獲取

該惡意軟件的分發和銷售通過 Telegram 帳戶 @styxencode 和 styxcrypter[.]com 網站手動管理。CPR 還發現了推廣該惡意軟件的廣告和 YouTube 視頻。

至少有 54 人使用比特幣和萊特幣等各種加密貨幣向 Styx 開發者支付了約 9,500 美元。與其免費的繼任者不同，該惡意軟件的月度許可費用爲 75 美元，三個月許可費用爲 230 美元，終身使用費用爲 350 美元。

目前，被盜加密資金的數量或使用 Styx 感染系統的規模仍不清楚。

據殺毒軟件開發商卡巴斯基今年早些時候報道，蘋果的 MacOS 上也發現了竊取加密貨幣的惡意軟件。該惡意軟件通過將實際軟件替換爲修改後的版本，瞄準了比特幣和 Exodus 錢包。

隨着加密貨幣行業的擴張，黑客和盜竊行爲變得越來越有利可圖，每年損失的資金價值高達數百萬美元。然而，一些臭名昭著的威脅者決定放棄。

上個月，Angel Drainer（一種造成超過 2500 萬美元盜竊的排水即服務惡意軟件）停止了運營。11 月，多鏈加密貨幣詐騙服務 Inferno Drainer 停止了服務。

閱讀更多：卡巴斯基證實朝鮮黑客利用“榴蓮”惡意軟件攻擊加密貨幣公司