Mystic Stealer は広範囲のブラウザと拡張機能をターゲットにします

最近発見された Mystic Stealer という名前のマルウェアは、合計約 40 と 70 の広範囲の Web ブラウザとブラウザ拡張機能を標的にすることができるデータ窃盗の脅威であることが判明しました。

当初は 2023 年 4 月 25 日にプロモーションされ、月額料金は 150 ドルでしたが、この悪意のあるソフトウェアはデータの窃盗に焦点を当てているだけでなく、暗号通貨ウォレット、Steam アカウント、および Telegram を侵害することも目的としています。その有効性を確保するために、Mystic Stealer は分析に対抗するための高度な対策を採用しています。

InQuest と Zscaler の研究者が行った最近の分析では、多態性文字列難読化、ハッシュ ベースのインポート解決、定数のランタイム計算などの技術を利用して、マルウェアのコードが高度に難読化されていることが明らかになりました。この複雑さにより、内部の仕組みを理解しようとする研究者にとってさらなる困難が加わります。

Mystic Stealer は、購入可能な他のクライムウェア ソリューションと同様、C プログラミング言語を使用して実装されています。このマルウェアに付属するコントロール パネルは Python で開発されており、購入者はデータ ログと構成設定にアクセスできます。

2023 年 5 月に Mystic Stealer に加えられた更新では、ローダー コンポーネントが導入され、コマンド アンド コントロール (C2) サーバーからの後続のペイロードの取得と実行が可能になりました。この機能強化により、マルウェアによる脅威が大幅に強化されます。

ミスティックの動作モード

C2 サーバーとの通信は、TCP 上のカスタム バイナリ プロトコルを使用して行われます。研究者らは、これまでに約 50 台の稼働中の C2 サーバーの存在を発見しました。さらに、コントロール パネルは購入者にとってのインターフェイスとして機能し、購入者が盗まれたデータを操作したり、さまざまな設定を調整したりできるようにします。

サイバーセキュリティ企業 Cyfirma は、Mystic Stealer の同時分析を実施し、このマルウェアの開発者が専用の Telegram チャネルを通じてさらなる改善のための提案を積極的に求めていると報告しました。これは、サイバー犯罪コミュニティと関わり、最新のトレンドを常に把握するための意図的な努力を示しています。

研究者らは、Mystic Stealer の開発者は、分析と防御メカニズムの回避に特に重点を置いて、現在のマルウェアの傾向に沿ったデータ窃盗ツールの作成を目的としていると結論付けました。

情報を盗むマルウェアが地下経済における貴重品として出現し、人気が高まっています。これらの窃盗犯は多くの場合、他のサイバー犯罪者の基盤として機能し、ランサムウェアやデータ恐喝を伴う金銭目的のキャンペーンを開始できるようにします。

しかし、既製の窃盗犯は、より幅広いユーザーにとってより手頃な価格になっているだけでなく、検出されずに監視を避けるための高度な技術も進化しています。