Mystic Stealer zielt auf eine große Auswahl an Browsern und Erweiterungen ab

Eine kürzlich entdeckte Malware namens Mystic Stealer wurde als datenstehlende Bedrohung identifiziert, die auf eine Vielzahl von Webbrowsern und Browsererweiterungen abzielt, insgesamt etwa 40 bzw. 70.

Diese Schadsoftware wurde erstmals am 25. April 2023 zu einem monatlichen Preis von 150 US-Dollar beworben und konzentriert sich nicht nur auf den Diebstahl von Daten, sondern zielt auch auf die Kompromittierung von Kryptowährungs-Wallets, Steam-Konten und Telegram ab. Um seine Wirksamkeit sicherzustellen, setzt Mystic Stealer ausgefeilte Maßnahmen ein, um einer Analyse zu widerstehen.

In einer kürzlich von Forschern von InQuest und Zscaler durchgeführten Analyse wurde festgestellt, dass der Code der Malware stark verschleiert ist, indem Techniken wie polymorphe String-Verschleierung, Hash-basierte Importauflösung und Laufzeitberechnung von Konstanten zum Einsatz kommen. Diese Komplexität stellt eine zusätzliche Schwierigkeit für Forscher dar, die versuchen, die inneren Abläufe zu verstehen.

Mystic Stealer wird wie andere käuflich erhältliche Crimeware-Lösungen mit der Programmiersprache C implementiert. Das der Malware beigefügte Control Panel ist in Python entwickelt und bietet Käufern Zugriff auf Datenprotokolle und Konfigurationseinstellungen.

Durch die im Mai 2023 an Mystic Stealer vorgenommenen Aktualisierungen wurde eine Loader-Komponente eingeführt, die den Abruf und die Ausführung nachfolgender Payloads von einem Command-and-Control-Server (C2) ermöglicht. Diese Verbesserung erhöht die Bedrohung durch die Malware erheblich.

Funktionsweise von Mystic

Die Kommunikation mit den C2-Servern erfolgt über ein benutzerdefiniertes Binärprotokoll über TCP. Forscher haben bisher die Existenz von etwa 50 betriebsbereiten C2-Servern entdeckt. Darüber hinaus dient das Control Panel als Schnittstelle für Käufer, über die sie mit den gestohlenen Daten interagieren und verschiedene Einstellungen anpassen können.

Das Cybersicherheitsunternehmen Cyfirma führte gleichzeitig eine Analyse von Mystic Stealer durch und berichtete, dass der Entwickler der Malware über einen speziellen Telegram-Kanal aktiv nach Vorschlägen für weitere Verbesserungen sucht. Dies deutet auf ein bewusstes Bemühen hin, mit der Cyberkriminellen-Gemeinschaft in Kontakt zu treten und über die neuesten Trends auf dem Laufenden zu bleiben.

Die Forscher kamen zu dem Schluss, dass der Entwickler von Mystic Stealer darauf abzielt, ein Tool zum Datendiebstahl zu entwickeln, das den aktuellen Malware-Trends entspricht und einen besonderen Schwerpunkt auf die Umgehung von Analyse- und Abwehrmechanismen legt.

Das Aufkommen informationsstehlender Malware als wertvolles Gut in der Untergrundwirtschaft hat zu einer steigenden Popularität geführt. Diese Diebe dienen häufig als Grundlage für andere Cyberkriminelle und ermöglichen es ihnen, finanziell motivierte Kampagnen mit Ransomware und Datenerpressung zu starten.

Standarddiebstähle werden jedoch nicht nur für ein breiteres Publikum erschwinglicher, sondern sie entwickeln sich auch mit fortschrittlichen Techniken weiter, um unentdeckt zu bleiben und einer genauen Prüfung zu entgehen.