„Mystic Stealer“ skirta daugybei naršyklių ir plėtinių

Neseniai aptikta kenkėjiška programa, pavadinta „Mystic Stealer“, buvo identifikuota kaip duomenų vagystės grėsmė, galinti nusitaikyti į daugybę interneto naršyklių ir naršyklių plėtinių, kurių bendras skaičius yra atitinkamai apie 40 ir 70.

Iš pradžių reklamuota 2023 m. balandžio 25 d., mėnesinė kaina 150 USD, ši kenkėjiška programinė įranga ne tik skirta duomenų grobimui, bet ir kriptovaliutų piniginėms, „Steam“ paskyroms ir „Telegram“ pažeisti. Siekdama užtikrinti savo efektyvumą, „Mystic Stealer“ taiko sudėtingas priemones, kad atsispirtų analizei.

Neseniai InQuest ir Zscaler tyrinėtojų atlikta analizė atskleidė, kad kenkėjiškos programos kodas yra labai užmaskuotas, naudojant tokius metodus kaip polimorfinių eilučių užmaskavimas, maišos pagrindu pagrįsta importo skiriamoji geba ir konstantų vykdymo laikas. Šis sudėtingumas suteikia papildomų sunkumų tyrėjams, bandantiems suprasti jo vidinį veikimą.

„Mystic Stealer“, kaip ir kiti nusipirkimo sprendimai, yra įdiegtas naudojant C programavimo kalbą. Kenkėjišką programą lydintis valdymo skydelis sukurtas „Python“ ir suteikia pirkėjams prieigą prie duomenų žurnalų ir konfigūracijos nustatymų.

2023 m. gegužės mėn. „Mystic Stealer“ atnaujinimuose buvo įdiegtas įkėlimo komponentas, leidžiantis gauti ir vykdyti paskesnes naudingas apkrovas iš komandų ir valdymo (C2) serverio. Šis patobulinimas žymiai padidina kenkėjiškos programos keliamą grėsmę.

Mistiko veikimo režimas

Ryšys su C2 serveriais pasiekiamas naudojant tinkintą dvejetainį protokolą per TCP. Tyrėjai atrado, kad iki šiol yra maždaug 50 veikiančių C2 serverių. Be to, valdymo pultas yra pirkėjų sąsaja, leidžianti jiems sąveikauti su pavogtais duomenimis ir koreguoti įvairius nustatymus.

Kibernetinio saugumo įmonė „Cyfirma“ atliko „Mystic Stealer“ analizę ir pranešė, kad kenkėjiškos programos kūrėjas per tam skirtą „Telegram“ kanalą aktyviai ieško pasiūlymų dėl tolesnių patobulinimų. Tai rodo sąmoningas pastangas bendrauti su kibernetinių nusikaltėlių bendruomene ir neatsilikti nuo naujausių tendencijų.

Tyrėjai padarė išvadą, kad „Mystic Stealer“ kūrėjas siekia sukurti duomenų vagystės įrankį, kuris atitiktų dabartines kenkėjiškų programų tendencijas, ypatingą dėmesį skirdamas analizės ir gynybos mechanizmų vengimui.

Informaciją vagiančių kenkėjiškų programų, kaip vertingos požeminės ekonomikos prekės, atsiradimas padidino populiarumą. Šie vagystės dažnai yra pagrindas kitiems kibernetiniams nusikaltėliams, todėl jie gali pradėti finansiškai motyvuotas kampanijas, susijusias su išpirkos programomis ir duomenų prievartavimu.

Tačiau parduodami vagišiai ne tik tampa prieinamesni platesnei auditorijai, bet ir tobulinami naudojant pažangias technologijas, kad liktų nepastebėti ir išvengtų tikrinimo.