Mystic Stealer richt zich op enorm scala aan browsers en extensies

Een onlangs ontdekte malware genaamd Mystic Stealer is geïdentificeerd als een dreiging voor het stelen van gegevens die zich kan richten op een breed scala aan webbrowsers en browserextensies, in totaal ongeveer 40 en 70, respectievelijk.

Oorspronkelijk gepromoot op 25 april 2023, met een maandelijkse kostprijs van $ 150, richt deze kwaadaardige software zich niet alleen op het stelen van gegevens, maar is het ook gericht op het compromitteren van cryptocurrency-portefeuilles, Steam-accounts en Telegram. Om de effectiviteit ervan te waarborgen, gebruikt Mystic Stealer geavanceerde maatregelen om analyse te weerstaan.

In een recente analyse, uitgevoerd door onderzoekers van InQuest en Zscaler, werd onthuld dat de code van de malware zwaar versluierd is, gebruikmakend van technieken zoals polymorfe tekenreeksverduistering, op hash gebaseerde importresolutie en runtime-berekening van constanten. Deze complexiteit voegt een extra moeilijkheid toe voor onderzoekers die de innerlijke werking ervan proberen te begrijpen.

Mystic Stealer wordt, net als andere crimeware-oplossingen die te koop zijn, geïmplementeerd met behulp van de programmeertaal C. Het controlepaneel dat bij de malware hoort, is ontwikkeld in Python en geeft kopers toegang tot datalogs en configuratie-instellingen.

Updates voor Mystic Stealer in mei 2023 introduceerden een loader-component, waardoor het ophalen en uitvoeren van volgende payloads van een command-and-control (C2)-server mogelijk werd. Deze verbetering vergroot de dreiging van de malware aanzienlijk.

De werkingsmodus van Mystic

Communicatie met de C2-servers wordt tot stand gebracht met behulp van een aangepast binair protocol via TCP. Onderzoekers hebben tot nu toe het bestaan ontdekt van ongeveer 50 operationele C2-servers. Bovendien dient het controlepaneel als interface voor kopers, waardoor ze kunnen communiceren met de gestolen gegevens en verschillende instellingen kunnen aanpassen.

Cyberbeveiligingsbedrijf Cyfirma voerde gelijktijdig een analyse uit van Mystic Stealer en meldde dat de ontwikkelaar van de malware actief op zoek is naar suggesties voor verdere verbeteringen via een speciaal Telegram-kanaal. Dit duidt op een bewuste poging om in contact te komen met de cybercriminele gemeenschap en op de hoogte te blijven van de laatste trends.

De onderzoekers concludeerden dat de ontwikkelaar van Mystic Stealer een tool voor het stelen van gegevens wil creëren die aansluit bij de huidige malwaretrends, met een bijzondere focus op het omzeilen van analyse- en verdedigingsmechanismen.

De opkomst van informatiestelende malware als een waardevol goed in de ondergrondse economie heeft geleid tot een toename in populariteit. Deze dieven dienen vaak als basis voor andere cybercriminelen, waardoor ze financieel gemotiveerde campagnes met ransomware en gegevensafpersing kunnen lanceren.

Kant-en-klare dieven worden echter niet alleen betaalbaarder voor een breder publiek, maar ze evolueren ook met geavanceerde technieken om onopgemerkt te blijven en controle te vermijden.