Novo malware Mystic Stealer atinge 40 navegadores da Web e 70 extensões de navegador

Descobriu-se que um novo malware para roubo de informações chamado Mystic Stealer rouba dados de cerca de 40 navegadores diferentes e mais de 70 extensões de navegadores da web.

Anunciado pela primeira vez em 25 de abril de 2023, por US$ 150 por mês, o malware também tem como alvo carteiras de criptomoedas, Steam e Telegram, e emprega mecanismos extensivos para resistir à análise.

“O código é fortemente ofuscado, fazendo uso de ofuscação de string polimórfica, resolução de importação baseada em hash e cálculo de constantes em tempo de execução”, disseram os pesquisadores da InQuest e Zscaler em uma análise publicada na semana passada.

O Mystic Stealer, como muitas outras soluções de crimeware oferecidas para venda, concentra-se no roubo de dados e é implementado na linguagem de programação C. O painel de controle foi desenvolvido usando Python.

As atualizações do malware em maio de 2023 incorporam um componente de carregador que permite recuperar e executar cargas de próximo estágio obtidas de um servidor de comando e controle (C2), tornando-o uma ameaça mais formidável.

As comunicações C2 são obtidas usando um protocolo binário personalizado sobre TCP. Cerca de 50 servidores C2 operacionais foram identificados até o momento. O painel de controle, por sua vez, serve como interface para que os compradores do ladrão acessem registros de dados e outras configurações.

A empresa de segurança cibernética Cyfirma, que publicou uma análise simultânea do Mystic, disse: “o autor do produto convida abertamente sugestões para melhorias adicionais no ladrão” por meio de um canal dedicado do Telegram, indicando esforços ativos para cortejar a comunidade cibercriminosa.

“Parece claro que o desenvolvedor do Mystic Stealer está procurando produzir um ladrão a par das tendências atuais do espaço de malware enquanto tenta se concentrar na anti-análise e na evasão de defesa”, disseram os pesquisadores.

As descobertas surgem quando os como uma infostealers emergiram mercadoria quente na economia subterrânea, muitas vezes servindo como precursor, facilitando a coleta de credenciais para permitir o acesso inicial aos ambientes de destino.

Em outras palavras, os ladrões são usados ​​como base por outros cibercriminosos para lançar campanhas motivadas financeiramente que empregam ransomware e elementos de extorsão de dados.

Apesar do pico de popularidade, os malwares ladrões de prateleira não estão sendo comercializados a preços acessíveis para atrair um público mais amplo, eles também estão evoluindo para se tornarem mais letais, incluindo técnicas avançadas para passar despercebidos.

A natureza volátil e em constante evolução do universo do ladrão é melhor exemplificada pela introdução constante de novas variedades, como Album Stealer, Bandit Stealer, Devopt, Fractureiser e Rhadamanthys nos últimos meses.

Em mais um sinal das tentativas dos agentes de ameaças de escapar da detecção, ladrões de informações e trojans de acesso remoto foram observados empacotados em criptografadores como AceCryptor, ScrubCrypt (também conhecido como BatCloak) e Snip3.

O desenvolvimento também vem quando a HP Wolf Security detalhou uma do ChromeLoader campanha de março de 2023 com o codinome Shampoo, projetada para instalar uma extensão maliciosa no Google Chrome e roubar dados confidenciais, redirecionar pesquisas e injetar anúncios na sessão do navegador da vítima.