С начала апреля 2023 года появилась новая вредоносная программа под названием «Mystic Stealer», которая быстро стала популярной в киберпреступном сообществе. Эта программа, доступная за ежемесячную арендную плату в $150, нацелена на 40 различных веб-браузеров, 70 расширений для браузеров, 21 приложение для работы с криптовалютами, 9 приложений для многофакторной аутентификации и управления паролями, а также 55 расширений для браузеров, связанных с криптовалютами. Она также нацелена на кражу учетных данных от платформы Steam и мессенджера Telegram, а также другую ценную информацию.
Согласно отчетам, опубликованным InQuest и Zscaler, а также Cyfirma, Mystic Stealer является сложной и продвинутой вредоносной программой. Растущий спрос на нее привел к появлению множества новых кампаний в сети.
В данной статье речь пойдет о:
Развитие Mystic Stealer
Mystic Stealer дебютировал в версии 1.0 в конце апреля 2023 года, но быстро вырос до версии 1.2 в конце мая, что свидетельствует об активной разработке проекта. Продавец рекламировал новую вредоносную программу на многочисленных хакерских форумах, включая WWH-Club, BHF и XSS, сдавая ее в аренду заинтересованным лицам за конкурент цена подписки — 150 долларов в месяц или 390 долларов в квартал. Проект также ведет Telegram-канал (Mystic Stealer News), где обсуждаются новости разработки, запросы функций и другие важные темы. Сообщается, что создатель нового вредоносного ПО принимает отзывы от авторитетных членов подпольного хакерского сообщества и открыто предлагает им поделиться предложениями по улучшению Mystic.
Cyfirma сообщает, что ветераны в этой области проверили эффективность вредоносной программы и подтвердили, что, несмотря на ранний статус разработки, она является мощным похитителем информации.
Технические подробности
Mystic Stealer может атаковать все версии Windows, включая XP до 11, поддерживая 32 и 64-битные архитектуры ОС. Вредоносная программа не нуждается в каких-либо зависимостях, поэтому ее след на зараженных системах минимален, а сама она работает в памяти, чтобы избежать обнаружения антивирусными продуктами. Более того, Mystic выполняет несколько проверок против виртуализации, например, проверяет детали CPUID, чтобы убедиться, что он не выполняется в средах с песочницей.
Автор Mystic добавил исключение для стран СНГ (бывший Советский Союз), что может указывать на происхождение нового вредоносного ПО. В отчете Zscaler/InQuest говорится, что еще одно ограничение, установленное создателем, не позволяет вредоносной программе запускать сборки старше определенной даты, возможно, для того, чтобы минимизировать воздействие вредоносной программы на исследователей безопасности.
Начиная с 20 мая 2023 года, автор вредоносной программы добавил функциональность загрузчика, позволяющую Mystic получать дополнительную полезную нагрузку с сервера C2. Вся связь с C2 шифруется с помощью пользовательского бинарного протокола по TCP, а все украденные данные отправляются непосредственно на сервер без предварительного сохранения на диске. Это необычный подход для вредоносных программ, похищающих информацию, но он помогает Mystic избежать обнаружения. Оператор может настроить до четырех конечных точек C2 для обеспечения отказоустойчивости, которые шифруются с помощью модифицированного алгоритма на основе XTEA.
Возможности кражи
При первом запуске Mystic собирает информацию об ОС и аппаратном обеспечении и делает снимок экрана, отправляя данные на C2-сервер злоумышленника. В зависимости от полученных инструкций, вредоносная программа будет нацеливаться на более конкретные данные, хранящиеся в веб-браузерах, приложениях и т.д. В отчете Zscaler и Inquest» приводится полный список целевых приложений, в который входят популярные веб-браузеры, менеджеры паролей и приложения для криптовалютных кошельков.
Список программ, которые подвергаются атакам:
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Opera
- Vivaldi
- Brave-Browser
- Binance
- Exodus
- Bitcoin
- Litecoin
- Electrum
- Authy 2FA
- Аутентификатор Gauth
- EOS Authenticator
- LastPass: Бесплатный менеджер паролей
- Trezor Менеджер паролей
- RoboForm Password Manager
- Dashlane- Менеджер паролей
- Менеджер паролей NordPass& Digital Vault
- Browserpass
- MYKI Password Manager& Аутентификатор
Хотя будущее Mystic Stealer все еще обсуждается, учитывая изменчивый характер нелегальных MaaS-проектов, его появление сигнализирует о повышенном риске для пользователей и организаций. Недавно добавленный загрузчик может помочь операторам Mystic забрасывать полезную нагрузку, такую как ransomware, на взломанные компьютеры, поэтому при загрузке программного обеспечения из Интернета рекомендуется соблюдать особую осторожность.