Mystic Stealer celuje w szeroką gamę przeglądarek, rozszerzeń

Niedawno odkryte złośliwe oprogramowanie o nazwie Mystic Stealer zostało zidentyfikowane jako zagrożenie kradnące dane, zdolne do atakowania szerokiej gamy przeglądarek internetowych i rozszerzeń przeglądarki, w sumie odpowiednio około 40 i 70.

Początkowo promowane 25 kwietnia 2023 r., z miesięcznym kosztem 150 USD, to złośliwe oprogramowanie skupia się nie tylko na kradzieży danych, ale także ma na celu włamanie się do portfeli kryptowalut, kont Steam i Telegramu. Aby zapewnić skuteczność, Mystic Stealer stosuje wyrafinowane środki, aby oprzeć się analizie.

W niedawnej analizie przeprowadzonej przez badaczy z InQuest i Zscaler ujawniono, że kod złośliwego oprogramowania jest mocno zaciemniony, wykorzystując techniki takie jak zaciemnianie łańcuchów polimorficznych, rozpoznawanie importu na podstawie skrótów i obliczanie stałych w czasie wykonywania. Ta złożoność dodaje dodatkową warstwę trudności dla badaczy próbujących zrozumieć jego wewnętrzne działanie.

Mystic Stealer, podobnie jak inne dostępne w sprzedaży rozwiązania typu crimeware, jest zaimplementowany przy użyciu języka programowania C. Panel kontrolny towarzyszący malware jest napisany w Pythonie i zapewnia kupującym dostęp do logów danych i ustawień konfiguracyjnych.

Aktualizacje wprowadzone do Mystic Stealer w maju 2023 r. wprowadziły komponent ładujący, umożliwiający pobieranie i wykonywanie kolejnych ładunków z serwera dowodzenia i kontroli (C2). To ulepszenie znacznie zwiększa zagrożenie stwarzane przez złośliwe oprogramowanie.

Tryb działania Mystica

Komunikacja z serwerami C2 odbywa się za pomocą niestandardowego protokołu binarnego przez TCP. Naukowcy odkryli dotychczas istnienie około 50 działających serwerów C2. Dodatkowo panel kontrolny służy jako interfejs dla kupujących, umożliwiając im interakcję ze skradzionymi danymi i dostosowanie różnych ustawień.

Firma Cyfirma zajmująca się cyberbezpieczeństwem przeprowadziła jednoczesną analizę Mystic Stealer i poinformowała, że twórca szkodliwego oprogramowania aktywnie poszukuje sugestii dotyczących dalszych ulepszeń za pośrednictwem dedykowanego kanału Telegram. Wskazuje to na celowe działanie mające na celu zaangażowanie społeczności cyberprzestępców i bycie na bieżąco z najnowszymi trendami.

Badacze doszli do wniosku, że twórca Mystic Stealer zamierza stworzyć narzędzie do kradzieży danych, które jest zgodne z obecnymi trendami w zakresie szkodliwego oprogramowania, ze szczególnym naciskiem na unikanie analizy i mechanizmy obronne.

Pojawienie się złośliwego oprogramowania kradnącego informacje jako cennego towaru w szarej strefie doprowadziło do wzrostu jego popularności. Ci złodzieje często służą jako podstawa dla innych cyberprzestępców, umożliwiając im uruchamianie motywowanych finansowo kampanii z wykorzystaniem oprogramowania ransomware i wyłudzania danych.

Jednak zwykłe złodzieje nie tylko stają się bardziej przystępne cenowo dla szerszej publiczności, ale także ewoluują dzięki zaawansowanym technikom, aby pozostać niewykrytym i uniknąć kontroli.