Το Mystic Stealer στοχεύει σε τεράστια γκάμα προγραμμάτων περιήγησης, επεκτάσεις

Ένα κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα με το όνομα Mystic Stealer έχει αναγνωριστεί ως απειλή κλοπής δεδομένων ικανή να στοχεύσει ένα ευρύ φάσμα προγραμμάτων περιήγησης ιστού και επεκτάσεων προγράμματος περιήγησης, που ανέρχονται συνολικά σε περίπου 40 και 70, αντίστοιχα.

Αρχικά προωθήθηκε στις 25 Απριλίου 2023, με μηνιαίο κόστος 150 $, αυτό το κακόβουλο λογισμικό όχι μόνο εστιάζει στην κλοπή δεδομένων, αλλά στοχεύει επίσης στον συμβιβασμό πορτοφολιών κρυπτονομισμάτων, λογαριασμών Steam και Telegram. Για να διασφαλίσει την αποτελεσματικότητά του, το Mystic Stealer χρησιμοποιεί εξελιγμένα μέτρα για να αντισταθεί στην ανάλυση.

Σε μια πρόσφατη ανάλυση που διεξήχθη από ερευνητές από το InQuest και το Zscaler, αποκαλύφθηκε ότι ο κώδικας του κακόβουλου λογισμικού είναι πολύ ασαφής, χρησιμοποιώντας τεχνικές όπως η πολυμορφική συσκότιση συμβολοσειρών, η ανάλυση εισαγωγής βάσει κατακερματισμού και ο υπολογισμός των σταθερών χρόνου εκτέλεσης. Αυτή η πολυπλοκότητα προσθέτει ένα επιπλέον επίπεδο δυσκολίας στους ερευνητές που προσπαθούν να κατανοήσουν την εσωτερική λειτουργία του.

Το Mystic Stealer, όπως και άλλες λύσεις εγκληματολογικού λογισμικού που είναι διαθέσιμες προς αγορά, υλοποιείται χρησιμοποιώντας τη γλώσσα προγραμματισμού C. Ο πίνακας ελέγχου που συνοδεύει το κακόβουλο λογισμικό έχει αναπτυχθεί σε Python και παρέχει στους αγοραστές πρόσβαση σε αρχεία καταγραφής δεδομένων και ρυθμίσεις διαμόρφωσης.

Οι ενημερώσεις που έγιναν στο Mystic Stealer τον Μάιο του 2023 εισήγαγαν ένα στοιχείο φόρτωσης, επιτρέποντας την ανάκτηση και την εκτέλεση των επόμενων ωφέλιμων φορτίων από έναν διακομιστή εντολών και ελέγχου (C2). Αυτή η βελτίωση ενισχύει σημαντικά την απειλή που θέτει το κακόβουλο λογισμικό.

Mystic's Mode of Operation

Η επικοινωνία με τους διακομιστές C2 πραγματοποιείται χρησιμοποιώντας ένα προσαρμοσμένο δυαδικό πρωτόκολλο μέσω TCP. Οι ερευνητές έχουν ανακαλύψει την ύπαρξη περίπου 50 λειτουργικών διακομιστών C2 μέχρι σήμερα. Επιπλέον, ο πίνακας ελέγχου χρησιμεύει ως διεπαφή για τους αγοραστές, επιτρέποντάς τους να αλληλεπιδρούν με τα κλεμμένα δεδομένα και να προσαρμόζουν διάφορες ρυθμίσεις.

Η εταιρεία κυβερνοασφάλειας Cyfirma διεξήγαγε μια ταυτόχρονη ανάλυση του Mystic Stealer και ανέφερε ότι ο προγραμματιστής του κακόβουλου λογισμικού αναζητά ενεργά προτάσεις για περαιτέρω βελτιώσεις μέσω ενός αποκλειστικού καναλιού Telegram. Αυτό υποδηλώνει μια σκόπιμη προσπάθεια συνεργασίας με την κοινότητα των εγκληματιών στον κυβερνοχώρο και την παραμονή ενημερωμένοι με τις τελευταίες τάσεις.

Οι ερευνητές κατέληξαν στο συμπέρασμα ότι ο προγραμματιστής του Mystic Stealer στοχεύει να δημιουργήσει ένα εργαλείο κλοπής δεδομένων που ευθυγραμμίζεται με τις τρέχουσες τάσεις κακόβουλου λογισμικού, με ιδιαίτερη έμφαση στην αποφυγή της ανάλυσης και των αμυντικών μηχανισμών.

Η εμφάνιση του κακόβουλου λογισμικού που κλέβει πληροφορίες ως πολύτιμο αγαθό στην παραοικονομία έχει οδηγήσει σε αύξηση της δημοτικότητας. Αυτοί οι κλέφτες συχνά χρησιμεύουν ως θεμέλιο για άλλους εγκληματίες του κυβερνοχώρου, δίνοντάς τους τη δυνατότητα να ξεκινήσουν εκστρατείες με οικονομικά κίνητρα που περιλαμβάνουν ransomware και εκβιασμό δεδομένων.

Ωστόσο, οι κλέφτες εκτός ραφιού όχι μόνο γίνονται πιο προσιτές για ένα ευρύτερο κοινό, αλλά εξελίσσονται επίσης με προηγμένες τεχνικές ώστε να παραμένουν απαρατήρητοι και να αποφεύγουν τον έλεγχο.