Mystic Stealer prende di mira una vasta gamma di browser ed estensioni

Un malware scoperto di recente chiamato Mystic Stealer è stato identificato come una minaccia di furto di dati in grado di prendere di mira un'ampia gamma di browser Web ed estensioni del browser, per un totale rispettivamente di circa 40 e 70.

Promosso inizialmente il 25 aprile 2023, con un costo mensile di $ 150, questo software dannoso non si concentra solo sul furto di dati, ma mira anche a compromettere portafogli di criptovalute, account Steam e Telegram. Per garantire la sua efficacia, Mystic Stealer impiega misure sofisticate per resistere all'analisi.

In una recente analisi condotta dai ricercatori di InQuest e Zscaler, è stato rivelato che il codice del malware è fortemente offuscato, utilizzando tecniche come l'offuscamento di stringhe polimorfiche, la risoluzione dell'importazione basata su hash e il calcolo di costanti di runtime. Questa complessità aggiunge un ulteriore livello di difficoltà per i ricercatori che cercano di comprenderne il funzionamento interno.

Mystic Stealer, come altre soluzioni crimeware disponibili per l'acquisto, è implementato utilizzando il linguaggio di programmazione C. Il pannello di controllo che accompagna il malware è sviluppato in Python e fornisce agli acquirenti l'accesso ai registri dei dati e alle impostazioni di configurazione.

Gli aggiornamenti apportati a Mystic Stealer nel maggio 2023 hanno introdotto un componente di caricamento, consentendo il recupero e l'esecuzione dei successivi payload da un server di comando e controllo (C2). Questo miglioramento aumenta notevolmente la minaccia rappresentata dal malware.

Modalità di funzionamento di Mystic

La comunicazione con i server C2 viene eseguita utilizzando un protocollo binario personalizzato su TCP. I ricercatori hanno scoperto l'esistenza di circa 50 server C2 operativi fino ad oggi. Inoltre, il pannello di controllo funge da interfaccia per gli acquirenti, consentendo loro di interagire con i dati rubati e regolare varie impostazioni.

La società di sicurezza informatica Cyfirma ha condotto un'analisi simultanea di Mystic Stealer e ha riferito che lo sviluppatore del malware cerca attivamente suggerimenti per ulteriori miglioramenti tramite un canale Telegram dedicato. Ciò indica uno sforzo deliberato per interagire con la comunità dei criminali informatici e rimanere aggiornati con le ultime tendenze.

I ricercatori hanno concluso che lo sviluppatore di Mystic Stealer mira a creare uno strumento di furto di dati che si allinei con le attuali tendenze del malware, con particolare attenzione all'elusione dei meccanismi di analisi e difesa.

L'emergere di malware che rubano informazioni come merce preziosa nell'economia sommersa ha portato a un aumento della popolarità. Questi ladri spesso fungono da base per altri criminali informatici, consentendo loro di lanciare campagne motivate finanziariamente che coinvolgono ransomware ed estorsione di dati.

Tuttavia, i ladri standard non solo stanno diventando più convenienti per un pubblico più ampio, ma si stanno anche evolvendo con tecniche avanzate per non essere scoperti ed evitare il controllo.