Malware vendido por assinatura adiciona inicialização automática, monitoramento de área de transferência, clipper de criptomoedas, evasão de análise e exfiltração via Telegram, enquanto erros de depuração revelaram artefatos do ambiente do desenvolvedor.
| Componente | Styx Stealer, variante baseada em código antigo do Phemedrone Stealer, vendida em styxcrypter[.]com e associada a exfiltração por Telegram. |
| Vetor | Distribuição observada a partir de uma campanha de spam com arquivo TAR malicioso, além de operação comercial por assinatura via contato no Telegram. |
| Impacto | Coleta de relatórios de roubo de informações, captura de artefatos do host, monitoramento da área de transferência e possível substituição de endereços de criptomoedas por meio de crypto-clipper. |
| Prioridade | Procurar relatórios não criptografados no Telegram, tráfego para bots usados por malware, execução de binários com nomes relacionados a Styx-Stealer.exe e sinais de coleta de dados semelhantes ao Phemedrone. |
| Artefatos | Domínio styxcrypter[.]com, conta de venda @styxencode, projeto PhemedroneStealer, arquivo Program.cs, processo Styx-Stealer.exe e bot @kralboting_bot. |
| IoCs | Arquivo TAR malicioso observado com SHA256 088bc96742dd7eaab4563a1830b9ca74cc2fa7a933b1b89485ddfc09b18f1bae; domínio citado mantido defangado como styxcrypter[.]com. |
Styx Stealer é um ladrão de informações apresentado como uma variante derivada do Phemedrone Stealer, com indícios de reaproveitamento de uma base antiga do código original. A linhagem é relevante porque o Phemedrone ganhou visibilidade no início de 2024 em campanhas que exploravam CVE-2023-36025 no Microsoft Windows Defender SmartScreen para entrega de malware. No caso do Styx, o material analisado indica uma operação posterior, comercializada por assinatura, que preserva a estrutura de relatórios do Phemedrone, mas modifica pontos de execução e restaura a exfiltração por Telegram em uma versão que, na base herdada, ainda não trazia esse recurso.
A diferença mais importante para defesa não está apenas na origem do código, mas nas capacidades adicionadas. O Styx incorporou inicialização automática, monitoramento da área de transferência, funcionalidade de crypto-clipper, evasão adicional de sandbox, técnicas de anti-análise e envio de dados para o Telegram. Esses recursos ampliam a superfície de detecção para endpoint, identidade e rede: a defesa deve correlacionar alterações de persistência, processos de coleta de dados, acesso anômalo ao clipboard, geração de arquivos de relatório e comunicação com bots. A cadeia também expôs um erro operacional incomum: durante depuração, o próprio ambiente do desenvolvedor aparentemente enviou ao Telegram um relatório gerado pelo malware, incluindo evidências do projeto no Visual Studio, identificadores de bot e artefatos locais.
A atividade começou a aparecer em uma campanha de spam de março de 2024 que distribuía um arquivo TAR malicioso identificado pelo hash SHA256 088bc96742dd7eaab4563a1830b9ca74cc2fa7a933b1b89485ddfc09b18f1bae. Nessa campanha, Agent Tesla usava a Telegram Bot API para exfiltração de dados. O token do bot permitia interação com usuários que já haviam iniciado conversa com o bot e também leitura de mensagens associadas ao fluxo do bot, criando uma janela de visibilidade sobre relatórios enviados por malware. Ao monitorar essa atividade, apareceu um arquivo com estrutura semelhante aos relatórios do Phemedrone, mas com cabeçalho identificando Styx Stealer. O relatório não estava criptografado, detalhe importante porque versões recentes do Phemedrone passaram a enviar dados ao Telegram com criptografia por campanha.
O relatório interceptado continha uma captura de tela do Visual Studio com um projeto chamado PhemedroneStealer durante depuração do processo Styx-Stealer.exe. O arquivo Program.cs exibido no ambiente de desenvolvimento continha um token de bot e um chat ID iguais aos extraídos da amostra de Agent Tesla relacionada à campanha anterior. Essa sobreposição indica que a integração de exfiltração por Telegram no Styx foi testada com credenciais obtidas no mesmo ecossistema criminoso usado pela campanha de Agent Tesla, não necessariamente que o desenvolvedor do Styx tenha operado diretamente aquela distribuição.
A relação entre os artefatos foi reforçada por conversas e contas Telegram associadas à operação. A conta @styxencode aparecia como contato comercial no site styxcrypter[.]com, enquanto @cobrasupports foi associada a comunicações anteriores e a um segundo bot, @kralboting_bot. Esse segundo bot continha relatórios do Styx originados do computador do próprio desenvolvedor, com timestamps anteriores, capturas de tela durante depuração e informações do host. Para defesa, esse detalhe mostra que o malware gerava relatórios suficientemente completos para expor endereço IP, endereço MAC, caminho do binário compilado e contexto de execução, o que também indica quais classes de dados podem aparecer em ambientes comprometidos.
A superfície mais exposta envolve estáções Windows onde arquivos maliciosos entregues por spam são abertos por usuários, principalmente quando controles de download, inspeção de anexos e execução de arquivos compactados são permissivos. O material não permite afirmar exploração ativa do Styx por CVE-2023-36025; essa vulnerabilidade aparece no histórico do Phemedrone. Portanto, a avaliação defensiva deve separar a linhagem do código do vetor observado: neste caso, o dado concreto é uma campanha de spam com TAR malicioso e o uso de Telegram para receber relatórios. Ambientes com bloqueio fraco de arquivos compactados, baixa inspeção de conteúdo e endpoints sem telemetria de processo ficam mais vulneráveis à perda de visibilidade.
O Styx também amplia o risco em máquinas usadas para atividades financeiras ou administração de carteiras de criptomoedas, porque o monitoramento de clipboard e o crypto-clipper podem alterar o destino de transações quando o usuário copia endereços. Esse impacto deve ser tratado como risco condicionado à execução do malware e à presença de operações com endereços de criptoativos na máquina afetada. O material analisado não sustenta afirmar movimentação lateral, vazamento corporativo amplo ou comprometimento de infraestrutura interna; o impacto confirmado fica no roubo de informações do host e na exfiltração de relatórios por canais Telegram.
- Estáções Windows que recebem anexos ou arquivos compactados por spam e permitem execução local de binários suspeitos.
- Ambientes em que o tráfego para Telegram Bot API não é monitorado, restringido ou correlacionado com eventos de endpoint.
- Usuários que manipulam endereços de criptomoedas na área de transferência, criando oportunidade para substituição silenciosa pelo clipper.
- Fluxos de segurança que tratam Telegram apenas como aplicação de mensagens e não como possível canal de comando, entrega de relatório ou exfiltração.
A investigação defensiva deve começar pela correlação entre execução de arquivos vindos de anexos, criação de processos incomuns e tráfego posterior para serviços do Telegram. O ponto central não é procurar apenas um nome de binário, pois operadores podem renomear o executável. O valor técnico está no encadeamento: arquivo compactado entregue por spam, extração local, execução de um processo sem reputação, coleta de dados do usuário, geração de relatório e envio para bot. Em ambientes com EDR, eventos de acesso intensivo a navegadores, clientes de mensagem, armazenamento local de credenciais, capturas de tela e área de transferência devem ser analisados junto com conexões externas logo após a execução inicial.
A telemetria de rede deve observar requisições compatíveis com uso de bot para envio de arquivos ou mensagens. Como o material menciona Telegram Bot API e relatórios enviados a bots, proxies, firewalls e soluções CASB podem procurar padrões de acesso a endpoints do Telegram a partir de hosts que normalmente não usam automação. A defesa também deve investigar falhas de higiene operacional do malware que possam facilitar detecção, como relatórios não criptografados, cabeçalhos contendo Styx Stealer, nomes internos herdados de PhemedroneStealer e artefatos de depuração. Esses sinais não substituem análise comportamental, mas ajudam a criar consultas de hunting com baixo ruído quando combinados com eventos de origem em anexo ou execução recente.
- Execução de binários recém-extraídos de arquivos TAR ou outros anexos recebidos por e-mail, seguida de comunicação externa rápida.
- Tráfego de endpoints corporativos para Telegram Bot API com padrão de envio de arquivos, mensagens ou relatórios automatizados.
- Arquivos ou buffers contendo identificadores como
Styx Stealer,PhemedroneStealer,Program.csouStyx-Stealer.exe. - Eventos de leitura ou alteração frequente da área de transferência, principalmente próximos a uso de carteiras, exchanges ou páginas que exibem endereços de criptoativos.
- Capturas de tela, coleta de metadados do host, enumeração de dados de usuário e criação de arquivos compactados antes de tráfego para Telegram.
- Presença do hash
088bc96742dd7eaab4563a1830b9ca74cc2fa7a933b1b89485ddfc09b18f1baeem gateways de e-mail, quarentena, EDR ou armazenamento de anexos.
A resposta deve tratar Styx como malware de roubo de informações com canal de exfiltração por Telegram. O primeiro passo é conter hosts com execução suspeita, preservar evidências de processo, arquivos temporários, anexos originais e registros de rede, e revisar se houve envio de arquivos ou relatórios para bots. Como o malware pode coletar informações sensíveis do usuário, credenciais armazenadas localmente e dados de sessão devem ser considerados em risco quando houver confirmação de execução. A rotação deve priorizar credenciais usadas no host afetado, sessões de navegador, tokens de aplicações e contas com acesso administrativo, sem assumir automaticamente comprometimento de toda a rede se a telemetria não sustentar esse salto.
Na prevenção, o controle de anexos precisa cobrir arquivos compactados e formatos menos comuns usados para transporte de binários. Regras de e-mail devem considerar reputação do remetente, conteúdo do anexo, origem do download e comportamento pós-entrega. Em endpoints, políticas de bloqueio para execução em diretórios de usuário, detecção de persistência por inicialização automática e monitoramento de acesso ao clipboard reduzem a janela operacional do malware. Para rede, organizações que não dependem de Telegram em processos corporativos podem restringir ou controlar o acesso; quando o serviço for permitido, a telemetria deve distinguir uso humano normal de automação por bot.
A validação final deve incluir busca retrospectiva por artefatos relacionados ao Phemedrone, porque o Styx herda estrutura e comportamento dessa família. Isso inclui comparar relatórios suspeitos, cabeçalhos, padrões de coleta e nomes internos. A presença de referências ao Phemedrone em artefatos do Styx não deve ser tratada como falso positivo automaticamente: neste caso, ela é coerente com a origem do código. Ao mesmo tempo, a atribuição a um operador específico deve ser mantida com cautela operacional, pois os dados mostram contas, bots e comunicações associadas, mas a prioridade defensiva é bloquear a cadeia de entrega, interromper a exfiltração e reduzir o impacto sobre credenciais e dados do usuário.
- Isolar hosts com execução suspeita e preservar anexos, árvores de processo, arquivos temporários, capturas de rede e logs de proxy.
- Bloquear ou monitorar tráfego automatizado para Telegram Bot API, especialmente quando originado de estáções sem necessidade de automação.
- Criar detecções para comportamento de stealer: coleta de dados locais, geração de relatórios, captura de tela, leitura de clipboard e envio externo subsequente.
- Rotacionar credenciais e invalidar sessões usadas em máquinas onde a execução do malware for confirmada.
- Revisar gateways de e-mail e quarentenas pelo hash informado e por anexos TAR maliciosos recebidos no período da campanha.
- Endurecer políticas de execução em diretórios de usuário, downloads e anexos extraídos, com bloqueio por reputação e comportamento.
0 Comentários