A Mystic Stealer a böngészők és bővítmények széles skáláját célozza meg

A közelmúltban felfedezett, Mystic Stealer nevű rosszindulatú programot adatlopó fenyegetésként azonosították, amely a webböngészők és böngészőbővítmények széles körét képes megcélozni, összesen körülbelül 40-et, illetve 70-et.

Az eredetileg 2023. április 25-én népszerűsített, 150 dolláros havi költségű rosszindulatú szoftver nem csak az adatok ellopására összpontosít, hanem a kriptovaluta pénztárcák, Steam-fiókok és a Telegram kompromittálására is törekszik. Hatékonyságának biztosítása érdekében a Mystic Stealer kifinomult intézkedéseket alkalmaz, hogy ellenálljon az elemzésnek.

Az InQuest és a Zscaler kutatói által végzett közelmúltbeli elemzésből kiderült, hogy a rosszindulatú program kódja erősen el van rejtve, és olyan technikákat alkalmaz, mint a polimorf karakterláncok elfedése, a hash-alapú importfelbontás és az állandók futásidejű számítása. Ez az összetettség további nehézségeket okoz a kutatók számára, akik megpróbálják megérteni a belső működését.

A Mystic Stealer, mint a többi megvásárolható bűnügyi megoldás, a C programozási nyelv használatával valósult meg. A kártevőt kísérő vezérlőpult Pythonban készült, és hozzáférést biztosít a vásárlóknak az adatnaplókhoz és a konfigurációs beállításokhoz.

A Mystic Stealer 2023 májusában végrehajtott frissítései bevezettek egy betöltő komponenst, amely lehetővé teszi a következő hasznos terhelések lekérését és végrehajtását egy parancs- és vezérlőkiszolgálóról (C2). Ez a fejlesztés jelentősen növeli a kártevő által jelentett fenyegetést.

A Mystic működési módja

A C2 szerverekkel való kommunikáció egyéni bináris protokoll segítségével történik TCP-n keresztül. A kutatók eddig körülbelül 50 működő C2-szerver létezését fedezték fel. Ezenkívül a vezérlőpult interfészként szolgál a vásárlók számára, lehetővé téve számukra az ellopott adatok kezelését és a különféle beállítások módosítását.

A Cyfirma kiberbiztonsági cég egyidejűleg elemezte a Mystic Stealert, és arról számolt be, hogy a rosszindulatú program fejlesztője aktívan keresi a további fejlesztési javaslatokat egy dedikált Telegram csatornán keresztül. Ez azt jelzi, hogy szándékos erőfeszítést tesznek a kiberbűnözők közösségével való kapcsolatteremtésre, és naprakészek maradnak a legújabb trendekkel.

A kutatók arra a következtetésre jutottak, hogy a Mystic Stealer fejlesztőjének célja egy olyan adatlopási eszköz létrehozása, amely illeszkedik a rosszindulatú programok jelenlegi trendjeihez, különös tekintettel az elemzések és a védekezési mechanizmusok elkerülésére.

Az információlopó rosszindulatú programok, mint a feketegazdaság értékes árucikkéi megjelenése a népszerűség növekedéséhez vezetett. Ezek a tolvajok gyakran szolgálnak alapot más kiberbűnözők számára, lehetővé téve számukra, hogy pénzügyileg motivált kampányokat indítsanak zsarolóprogramokkal és adatzsarolással.

A készen kapható lopók azonban nemcsak egyre megfizethetőbbé válnak a szélesebb közönség számára, hanem fejlett technikákkal is fejlődnek, hogy észrevétlenül maradjanak, és elkerüljék a vizsgálatot.