Mystic Stealer apunta a una gran variedad de navegadores y extensiones

Un malware recientemente descubierto llamado Mystic Stealer ha sido identificado como una amenaza de robo de datos capaz de atacar una amplia gama de navegadores web y extensiones de navegador, con un total de alrededor de 40 y 70, respectivamente.

Promocionado inicialmente el 25 de abril de 2023, con un costo mensual de $150, este software malicioso no solo se enfoca en robar datos, sino que también tiene como objetivo comprometer las billeteras de criptomonedas, las cuentas de Steam y Telegram. Para garantizar su eficacia, Mystic Stealer emplea medidas sofisticadas para resistir el análisis.

En un análisis reciente realizado por investigadores de InQuest y Zscaler, se reveló que el código del malware está muy ofuscado y utiliza técnicas como la ofuscación de cadenas polimórficas, la resolución de importación basada en hash y el cálculo de constantes en tiempo de ejecución. Esta complejidad agrega una capa adicional de dificultad para los investigadores que intentan comprender su funcionamiento interno.

Mystic Stealer, al igual que otras soluciones de crimeware disponibles para la compra, se implementa utilizando el lenguaje de programación C. El panel de control que acompaña al malware está desarrollado en Python y proporciona a los compradores acceso a registros de datos y ajustes de configuración.

Las actualizaciones realizadas a Mystic Stealer en mayo de 2023 introdujeron un componente de carga, lo que permite la recuperación y ejecución de cargas útiles posteriores desde un servidor de comando y control (C2). Esta mejora aumenta significativamente la amenaza que representa el malware.

Modo de funcionamiento de Mystic

La comunicación con los servidores C2 se logra mediante un protocolo binario personalizado sobre TCP. Los investigadores han descubierto la existencia de aproximadamente 50 servidores C2 operativos hasta la fecha. Además, el panel de control sirve como interfaz para los compradores, lo que les permite interactuar con los datos robados y ajustar varias configuraciones.

La firma de seguridad cibernética Cyfirma realizó un análisis simultáneo de Mystic Stealer e informó que el desarrollador del malware busca activamente sugerencias para mejoras adicionales a través de un canal dedicado de Telegram. Esto indica un esfuerzo deliberado para interactuar con la comunidad de ciberdelincuentes y mantenerse al día con las últimas tendencias.

Los investigadores concluyeron que el desarrollador de Mystic Stealer tiene como objetivo crear una herramienta de robo de datos que se alinee con las tendencias actuales de malware, con un enfoque particular en evadir el análisis y los mecanismos de defensa.

El surgimiento del malware que roba información como un bien valioso en la economía clandestina ha llevado a un aumento en la popularidad. Estos ladrones a menudo sirven como base para otros ciberdelincuentes, permitiéndoles lanzar campañas motivadas financieramente que involucran ransomware y extorsión de datos.

Sin embargo, los ladrones estándar no solo se están volviendo más asequibles para un público más amplio, sino que también están evolucionando con técnicas avanzadas para pasar desapercibidos y evitar el escrutinio.