Mystic Stealer retter seg mot et stort utvalg av nettlesere, utvidelser

En nylig oppdaget skadelig programvare ved navn Mystic Stealer har blitt identifisert som en trussel mot datatyveri som er i stand til å målrette et bredt spekter av nettlesere og nettleserutvidelser, totalt rundt 40 og 70, henholdsvis.

Opprinnelig markedsført 25. april 2023, med en månedlig kostnad på $150, fokuserer denne ondsinnede programvaren ikke bare på å stjele data, men tar også sikte på å kompromittere kryptovaluta-lommebøker, Steam-kontoer og Telegram. For å sikre effektiviteten bruker Mystic Stealer sofistikerte tiltak for å motstå analyser.

I en nylig analyse utført av forskere fra InQuest og Zscaler, ble det avslørt at skadevarekoden er sterkt tilslørt, ved å bruke teknikker som polymorf strengobfuskering, hash-basert importoppløsning og kjøretidsberegning av konstanter. Denne kompleksiteten legger til et ekstra lag med vanskeligheter for forskere som prøver å forstå dens indre funksjoner.

Mystic Stealer, i likhet med andre kriminalitetsløsninger som er tilgjengelige for kjøp, implementeres ved hjelp av programmeringsspråket C. Kontrollpanelet som følger med skadelig programvare er utviklet i Python og gir kjøpere tilgang til datalogger og konfigurasjonsinnstillinger.

Oppdateringer gjort til Mystic Stealer i mai 2023 introduserte en lasterkomponent, som muliggjorde henting og kjøring av påfølgende nyttelast fra en kommando-og-kontroll-server (C2). Denne forbedringen øker trusselen fra skadelig programvare betydelig.

Mystics virkemåte

Kommunikasjon med C2-servere utføres ved hjelp av en tilpasset binær protokoll over TCP. Forskere har oppdaget eksistensen av omtrent 50 operative C2-servere til dags dato. I tillegg fungerer kontrollpanelet som grensesnitt for kjøpere, slik at de kan samhandle med de stjålne dataene og justere ulike innstillinger.

Cybersikkerhetsfirmaet Cyfirma gjennomførte en samtidig analyse av Mystic Stealer og rapporterte at skadevareutvikleren aktivt søker forslag til ytterligere forbedringer via en dedikert Telegram-kanal. Dette indikerer en bevisst innsats for å engasjere seg med det nettkriminelle samfunnet og holde seg oppdatert med de siste trendene.

Forskerne konkluderte med at utvikleren av Mystic Stealer har som mål å lage et datatyveri som er i tråd med gjeldende malwaretrender, med et spesielt fokus på å unngå analyser og forsvarsmekanismer.

Fremveksten av skadelig programvare som stjeler informasjon som en verdifull vare i den underjordiske økonomien har ført til en økning i popularitet. Disse stjelerne fungerer ofte som et grunnlag for andre nettkriminelle, og gjør dem i stand til å lansere økonomisk motiverte kampanjer som involverer løsepengevare og datautpressing.

Imidlertid blir hyllestyvere ikke bare rimeligere for et bredere publikum, men de utvikler seg også med avanserte teknikker for å forbli uoppdaget og unngå gransking.