Mystic Stealer tem como alvo uma grande variedade de navegadores e extensões

Um malware recentemente descoberto chamado Mystic Stealer foi identificado como uma ameaça de roubo de dados capaz de atingir uma ampla gama de navegadores da web e extensões de navegadores, totalizando cerca de 40 e 70, respectivamente.

Inicialmente promovido em 25 de abril de 2023, com um custo mensal de US$ 150, esse software malicioso não se concentra apenas no roubo de dados, mas também visa comprometer carteiras de criptomoedas, contas Steam e Telegram. Para garantir sua eficácia, o Mystic Stealer emprega medidas sofisticadas para resistir à análise.

Em uma análise recente conduzida por pesquisadores da InQuest e Zscaler, foi revelado que o código do malware é fortemente ofuscado, utilizando técnicas como ofuscação de string polimórfica, resolução de importação baseada em hash e cálculo de constantes em tempo de execução. Essa complexidade adiciona uma camada extra de dificuldade para os pesquisadores que tentam entender seu funcionamento interno.

O Mystic Stealer, como outras soluções de crimeware disponíveis para compra, é implementado usando a linguagem de programação C. O painel de controle que acompanha o malware é desenvolvido em Python e fornece aos compradores acesso a registros de dados e definições de configuração.

As atualizações feitas no Mystic Stealer em maio de 2023 introduziram um componente de carregador, permitindo a recuperação e execução de cargas subsequentes de um servidor de comando e controle (C2). Esse aprimoramento aumenta significativamente a ameaça representada pelo malware.

Modo de operação do Mystic

A comunicação com os servidores C2 é realizada usando um protocolo binário personalizado sobre TCP. Os pesquisadores descobriram a existência de aproximadamente 50 servidores C2 operacionais até o momento. Além disso, o painel de controle serve como interface para os compradores, permitindo que eles interajam com os dados roubados e ajustem várias configurações.

A empresa de segurança cibernética Cyfirma conduziu uma análise simultânea do Mystic Stealer e relatou que o desenvolvedor do malware busca ativamente sugestões para melhorias adicionais por meio de um canal dedicado do Telegram. Isso indica um esforço deliberado para se envolver com a comunidade cibercriminosa e se manter atualizado com as últimas tendências.

Os pesquisadores concluíram que o desenvolvedor do Mystic Stealer visa criar uma ferramenta de roubo de dados que se alinhe com as tendências atuais de malware, com foco particular em evitar análises e mecanismos de defesa.

O surgimento de malware para roubo de informações como uma mercadoria valiosa na economia clandestina levou a um aumento na popularidade. Esses ladrões geralmente servem como base para outros cibercriminosos, permitindo que eles lancem campanhas motivadas financeiramente envolvendo ransomware e extorsão de dados.

No entanto, os ladrões de prateleira não estão apenas se tornando mais acessíveis para um público mais amplo, mas também estão evoluindo com técnicas avançadas para permanecerem indetectáveis e evitar o escrutínio.