Mystic Stealer 针对大量浏览器、扩展程序

最近发现的一种名为 Mystic Stealer 的恶意软件已被确定为一种数据窃取威胁，能够针对各种 Web 浏览器和浏览器扩展程序，总计分别约为 40 和 70 个。

该恶意软件最初于 2023 年 4 月 25 日推广，每月费用为 150 美元，不仅专注于窃取数据，还旨在危害加密货币钱包、Steam 帐户和 Telegram。为了确保其有效性，Mystic Stealer 采用了复杂的措施来抵抗分析。

InQuest 和 Zscaler 的研究人员最近进行的一项分析表明，该恶意软件的代码经过严重混淆，利用了多态字符串混淆、基于哈希的导入解析和常量运行时计算等技术。这种复杂性给试图理解其内部运作的研究人员增加了额外的难度。

Mystic Stealer 与其他可供购买的犯罪软件解决方案一样，是使用 C 编程语言实现的。恶意软件附带的控制面板是用 Python 开发的，买家可以访问数据日志和配置设置。

2023 年 5 月对 Mystic Stealer 进行的更新引入了加载程序组件，可以从命令和控制 (C2) 服务器检索和执行后续有效负载。此增强功能显着增强了恶意软件造成的威胁。

神秘人的运作模式

与 C2 服务器的通信是使用 TCP 上的自定义二进制协议完成的。迄今为止，研究人员已发现大约 50 台可运行的 C2 服务器。此外，控制面板充当买家的界面，使他们能够与被盗数据进行交互并调整各种设置。

网络安全公司 Cyfirma 对 Mystic Stealer 进行了并发分析，并报告称该恶意软件的开发人员通过专门的 Telegram 频道积极寻求进一步改进的建议。这表明我们有意与网络犯罪社区接触并了解最新趋势。

研究人员得出结论，Mystic Stealer 的开发者旨在创建一种符合当前恶意软件趋势的数据窃取工具，特别注重逃避分析和防御机制。

信息窃取恶意软件作为地下经济中的一种有价值的商品而出现，导致其越来越受欢迎。这些窃取者通常是其他网络犯罪分子的基础，使他们能够发起涉及勒索软件和数据勒索的经济动机活动。

然而，现成的窃取者不仅变得更容易为更广泛的受众所接受，而且还通过先进技术不断发展，以保持不被发现并避免审查。