Mystic Stealer retter sig mod et stort udvalg af browsere, udvidelser

En nyligt opdaget malware ved navn Mystic Stealer er blevet identificeret som en trussel mod datatyveri, der er i stand til at målrette en bred vifte af webbrowsere og browserudvidelser, i alt omkring henholdsvis 40 og 70.

Oprindeligt promoveret den 25. april 2023, med en månedlig pris på 150 USD, fokuserer denne ondsindede software ikke kun på at stjæle data, men har også til formål at kompromittere cryptocurrency tegnebøger, Steam-konti og Telegram. For at sikre dens effektivitet anvender Mystic Stealer sofistikerede foranstaltninger til at modstå analyser.

I en nylig analyse udført af forskere fra InQuest og Zscaler blev det afsløret, at malwarens kode er stærkt sløret ved at bruge teknikker som polymorf streng-obfuscation, hash-baseret importopløsning og runtime-beregning af konstanter. Denne kompleksitet tilføjer et ekstra lag af vanskeligheder for forskere, der forsøger at forstå dens indre funktioner.

Mystic Stealer er ligesom andre kriminalitetsløsninger, der kan købes, implementeret ved hjælp af programmeringssproget C. Kontrolpanelet, der ledsager malwaren, er udviklet i Python og giver købere adgang til datalogfiler og konfigurationsindstillinger.

Opdateringer foretaget til Mystic Stealer i maj 2023 introducerede en loader-komponent, der muliggjorde hentning og eksekvering af efterfølgende nyttelaster fra en kommando-og-kontrol-server (C2). Denne forbedring øger markant truslen fra malwaren.

Mystics funktionsmåde

Kommunikation med C2-serverne udføres ved hjælp af en brugerdefineret binær protokol over TCP. Forskere har opdaget eksistensen af cirka 50 operationelle C2-servere til dato. Derudover fungerer kontrolpanelet som grænseflade for købere, hvilket giver dem mulighed for at interagere med de stjålne data og justere forskellige indstillinger.

Cybersikkerhedsfirmaet Cyfirma gennemførte en sideløbende analyse af Mystic Stealer og rapporterede, at malware-udvikleren aktivt søger forslag til yderligere forbedringer via en dedikeret Telegram-kanal. Dette indikerer en bevidst indsats for at engagere sig i det cyberkriminelle samfund og holde sig ajour med de seneste trends.

Forskerne konkluderede, at udvikleren af Mystic Stealer sigter mod at skabe et datatyveriværktøj, der stemmer overens med aktuelle malware-trends, med et særligt fokus på at omgå analyse- og forsvarsmekanismer.

Fremkomsten af informationsstjælende malware som en værdifuld vare i den underjordiske økonomi har ført til en stigning i popularitet. Disse stjæle tjener ofte som grundlag for andre cyberkriminelle, hvilket gør dem i stand til at lancere økonomisk motiverede kampagner, der involverer ransomware og dataafpresning.

Men hyldestjælere bliver ikke kun mere overkommelige for et bredere publikum, men de udvikler sig også med avancerede teknikker for at forblive uopdaget og undgå kontrol.