Mystic Stealer cible une vaste gamme de navigateurs et d'extensions

Un logiciel malveillant récemment découvert nommé Mystic Stealer a été identifié comme une menace de vol de données capable de cibler un large éventail de navigateurs Web et d'extensions de navigateur, totalisant respectivement environ 40 et 70.

Initialement promu le 25 avril 2023, avec un coût mensuel de 150 $, ce logiciel malveillant se concentre non seulement sur le vol de données, mais vise également à compromettre les portefeuilles de crypto-monnaie, les comptes Steam et Telegram. Pour assurer son efficacité, Mystic Stealer utilise des mesures sophistiquées pour résister à l'analyse.

Dans une analyse récente menée par des chercheurs d'InQuest et de Zscaler, il a été révélé que le code du logiciel malveillant est fortement obscurci, en utilisant des techniques telles que l'obscurcissement de chaînes polymorphes, la résolution d'importation basée sur le hachage et le calcul d'exécution des constantes. Cette complexité ajoute une couche supplémentaire de difficulté pour les chercheurs qui tentent de comprendre son fonctionnement interne.

Mystic Stealer, comme d'autres solutions de logiciels criminels disponibles à l'achat, est implémenté à l'aide du langage de programmation C. Le panneau de contrôle accompagnant le logiciel malveillant est développé en Python et permet aux acheteurs d'accéder aux journaux de données et aux paramètres de configuration.

Les mises à jour apportées à Mystic Stealer en mai 2023 ont introduit un composant de chargeur, permettant la récupération et l'exécution des charges utiles ultérieures à partir d'un serveur de commande et de contrôle (C2). Cette amélioration augmente considérablement la menace posée par le logiciel malveillant.

Mode de fonctionnement de Mystic

La communication avec les serveurs C2 s'effectue à l'aide d'un protocole binaire personnalisé sur TCP. Les chercheurs ont découvert l'existence d'environ 50 serveurs C2 opérationnels à ce jour. De plus, le panneau de contrôle sert d'interface pour les acheteurs, leur permettant d'interagir avec les données volées et d'ajuster divers paramètres.

La société de cybersécurité Cyfirma a mené une analyse simultanée de Mystic Stealer et a signalé que le développeur du logiciel malveillant recherchait activement des suggestions d'améliorations supplémentaires via un canal Telegram dédié. Cela indique un effort délibéré pour dialoguer avec la communauté cybercriminelle et se tenir au courant des dernières tendances.

Les chercheurs ont conclu que le développeur de Mystic Stealer vise à créer un outil de vol de données qui s'aligne sur les tendances actuelles des logiciels malveillants, avec un accent particulier sur l'évasion des mécanismes d'analyse et de défense.

L'émergence des logiciels malveillants voleurs d'informations en tant que produit précieux dans l'économie souterraine a conduit à une augmentation de la popularité. Ces voleurs servent souvent de base à d'autres cybercriminels, leur permettant de lancer des campagnes à motivation financière impliquant des rançongiciels et l'extorsion de données.

Cependant, les voleurs standard deviennent non seulement plus abordables pour un public plus large, mais ils évoluent également avec des techniques avancées pour ne pas être détectés et éviter tout examen minutieux.