Investigadores de Check Point rastrearon el camino desde Agent Tesla hasta el hacker Sty1x.
Check Point ha descubierto un grave error de seguridad operacional en el nuevo malware Styx Stealer, que permitió a los investigadores rastrear y desenmascarar a su creador. La empresa afirma que el desarrollador infectó su propio ordenador. Fue gracias a este incidente que el stealer pudo ser vinculado a un hacker turco conocido bajo el seudónimo de Sty1x.
Styx Stealer es una versión modificada del malware Phemedrone Stealer, que ganó notoriedad a principios de 2024 tras la explotación de la vulnerabilidad CVE-2023-36025 en Microsoft Windows Defender SmartScreen. El nuevo malware heredó las principales funciones de Phemedrone, incluyendo el robo de contraseñas, cookies y datos de autocompletado de los navegadores, así como información de billeteras de criptomonedas.
Check Point descubrió que Styx Stealer se vende en el sitio web styxcrypter[.]com bajo un modelo de suscripción: $75 por una licencia mensual, $230 por tres meses y $350 por una suscripción de por vida. A los compradores se les ofrece contactar con el vendedor a través de la cuenta de Telegram @styxencode.
Durante la depuración del malware, Sty1x subió accidentalmente un archivo desde su ordenador a un bot de Telegram que se utilizaba en una campaña para propagar otro malware, Agent Tesla. Este archivo contenía una captura de pantalla del escritorio del desarrollador con un proyecto abierto en Visual Studio titulado "PhemedroneStealer" y el proceso de depuración "Styx-Stealer.exe". En la captura de pantalla también se veía el archivo Program.cs con un token de bot de Telegram codificado y un ID de chat, que coincidían con los datos extraídos de una muestra de Agent Tesla.
Al analizar los datos obtenidos, los investigadores de Check Point lograron establecer que el creador de Styx Stealer utiliza dos cuentas de Telegram: @styxencode y @cobrasupports. También determinaron que el desarrollador se encuentra en Turquía, rastreando sus movimientos en el país basándose en los datos de inicio de sesión de las cuentas.
La investigación adicional reveló una conexión entre el creador de Styx Stealer y un cibercriminal nigeriano con el alias Fucosreal (también conocido como @Mack_Sant). Fue Fucosreal quien proporcionó el token del bot de Telegram que Sty1x utilizó al depurar su software.
Check Point logró reconstruir la cadena de eventos: Sty1x añadió la función de envío de datos a través de Telegram y la probó en su propio bot. Luego convenció a @Mack_Sant para que ejecutara la misma versión del stealer en su ordenador. Después, Sty1x insertó el token del bot @joemmBot, enviado por @Mack_Sant, en el programa.
Es probable que Sty1x también esté involucrado en otras actividades cibercriminales. Los analistas encontraron pruebas de que utilizó el stealer de código abierto Umbral y, posiblemente, estuvo vinculado al grupo del mismo nombre.
En dos meses, desde el 18 de abril de 2024, el creador de Styx Stealer obtuvo alrededor de $9,500 por la venta de su producto. Check Point identificó a 54 clientes y 8 billeteras de criptomonedas que se cree pertenecen a Sty1x. Según el análisis técnico, Styx Stealer se basa en una versión anterior de Phemedrone Stealer, lanzada antes de septiembre de 2023. Sin embargo, se añadieron nuevas funciones, como monitoreo del portapapeles, cryptojacking y autoarranque. También incluye métodos adicionales para evadir la detección, incluyendo la verificación de procesos relacionados con depuradores y software de análisis, así como la detección de máquinas virtuales y entornos sandbox.