Mystic Stealer предназначен для огромного количества браузеров и расширений

Недавно обнаруженная вредоносная программа под названием Mystic Stealer была идентифицирована как угроза кражи данных, способная быть нацеленной на широкий спектр веб-браузеров и расширений браузера, всего около 40 и 70 соответственно.

Первоначально запущенное 25 апреля 2023 года с ежемесячной стоимостью 150 долларов США, это вредоносное программное обеспечение не только фокусируется на краже данных, но и нацелено на компрометацию криптовалютных кошельков, учетных записей Steam и Telegram. Чтобы обеспечить свою эффективность, Mystic Stealer применяет изощренные меры противодействия анализу.

В недавнем анализе, проведенном исследователями из InQuest и Zscaler, было обнаружено, что код вредоносного ПО сильно запутан с использованием таких методов, как запутывание полиморфных строк, разрешение импорта на основе хэшей и вычисление констант во время выполнения. Эта сложность добавляет дополнительный уровень сложности для исследователей, пытающихся понять его внутреннюю работу.

Mystic Stealer, как и другие доступные для покупки решения криминального ПО, реализован с использованием языка программирования C. Панель управления, сопровождающая вредоносное ПО, разработана на языке Python и предоставляет покупателям доступ к журналам данных и настройкам конфигурации.

Обновления, внесенные в Mystic Stealer в мае 2023 года, представили компонент загрузчика, позволяющий извлекать и выполнять последующие полезные нагрузки с сервера управления и контроля (C2). Это усовершенствование значительно увеличивает угрозу, которую представляет вредоносное ПО.

Режим работы Mystic

Связь с серверами C2 осуществляется с использованием специального двоичного протокола по протоколу TCP. Исследователи обнаружили, что на сегодняшний день существует около 50 действующих серверов C2. Кроме того, панель управления служит интерфейсом для покупателей, позволяя им взаимодействовать с украденными данными и настраивать различные параметры.

Фирма по кибербезопасности Cyfirma провела параллельный анализ Mystic Stealer и сообщила, что разработчик вредоносного ПО активно ищет предложения по дальнейшим улучшениям через специальный канал Telegram. Это свидетельствует о преднамеренных усилиях по взаимодействию с сообществом киберпреступников и тому, чтобы быть в курсе последних тенденций.

Исследователи пришли к выводу, что разработчик Mystic Stealer стремится создать инструмент для кражи данных, который соответствует текущим тенденциям вредоносных программ, уделяя особое внимание уклонению от анализа и механизмам защиты.

Появление вредоносных программ для кражи информации в качестве ценного товара в теневой экономике привело к росту их популярности. Эти похитители часто служат основой для других киберпреступников, позволяя им запускать финансово мотивированные кампании, связанные с программами-вымогателями и вымогательством данных.

Тем не менее, готовые стилеры не только становятся более доступными для более широкой аудитории, но и развиваются с помощью передовых методов, позволяющих оставаться незамеченными и избегать проверки.