Mystic Stealer 針對大量瀏覽器、擴展程序

最近發現的一種名為 Mystic Stealer 的惡意軟件已被確定為一種數據竊取威脅，能夠針對各種 Web 瀏覽器和瀏覽器擴展程序，總計分別約為 40 和 70 個。

該惡意軟件最初於 2023 年 4 月 25 日推廣，每月費用為 150 美元，不僅專注於竊取數據，還旨在危害加密貨幣錢包、Steam 帳戶和 Telegram。為了確保其有效性，Mystic Stealer 採用了複雜的措施來抵抗分析。

InQuest 和 Zscaler 的研究人員最近進行的一項分析表明，該惡意軟件的代碼經過嚴重混淆，利用了多態字符串混淆、基於哈希的導入解析和常量運行時計算等技術。這種複雜性給試圖理解其內部運作的研究人員增加了額外的難度。

Mystic Stealer 與其他可供購買的犯罪軟件解決方案一樣，是使用 C 編程語言實現的。惡意軟件附帶的控制面板是用 Python 開發的，買家可以訪問數據日誌和配置設置。

2023 年 5 月對 Mystic Stealer 進行的更新引入了加載程序組件，可以從命令和控制 (C2) 服務器檢索和執行後續有效負載。此增強功能顯著增強了惡意軟件造成的威脅。

神秘人的運作模式

與 C2 服務器的通信是使用 TCP 上的自定義二進制協議完成的。迄今為止，研究人員已發現大約 50 台可運行的 C2 服務器。此外，控制面板充當買家的界面，使他們能夠與被盜數據進行交互並調整各種設置。

網絡安全公司 Cyfirma 對 Mystic Stealer 進行了並發分析，並報告稱該惡意軟件的開發人員通過專門的 Telegram 頻道積極尋求進一步改進的建議。這表明我們有意與網絡犯罪社區接觸並了解最新趨勢。

研究人員得出結論，Mystic Stealer 的開發者旨在創建一種符合當前惡意軟件趨勢的數據竊取工具，特別注重逃避分析和防禦機制。

信息竊取惡意軟件作為地下經濟中的一種有價值的商品而出現，導致其越來越受歡迎。這些竊取者通常是其他網絡犯罪分子的基礎，使他們能夠發起涉及勒索軟件和數據勒索的經濟動機活動。

然而，現成的竊取者不僅變得更容易為更廣泛的受眾所接受，而且還通過先進技術不斷發展，以保持不被發現並避免審查。