ru
Назад к списку

Mystic Stealer: вредоносное ПО против крипто приложений

source-logo  freedmanclub.com 20 Июнь 2023 11:14, UTC

Mystic Stealer продвигается на хакерских форумах с апреля 2023 года и быстро набирает популярность у киберпреступников. Ново вредоносное ПО, арендуемое за 150 долларов в месяц, нацелено на:

  • 40 веб-браузеров,
  • 70 расширений браузеров,
  • 21 криптовалютное приложение,
  • 9 приложений MFA и управления паролями,
  • 55 криптовалютных расширений браузера,
  • учетные данные Steam и Telegram.

Информация о Mystic Stealer, в отчетах InQuest и Zscaler, Cyfirma, предупреждают о растущей популярности нового вредоносного ПО, его сложности и всплеске продаж.

Когда появилось Mystic Stealer

Mystic Stealer дебютировал с версией 1.0 в конце апреля 2023 года, но к концу мая перешел на версию 1.2, что свидетельствует об активной разработке проекта.


Mystic Stealer

Новое вредоносное ПО предлагают на нескольких хакерских форумах, сдавая его в аренду заинтересованным лицам по цене 150 долларов в месяц или 390 долларов в квартал.

Mystic Stealer: новое вредоносное ПО нацелено на криптовалютные приложения, учетные данные Steam и Telegram

У проекта также есть канал в Telegram, где обсуждаются новости разработки, запросы функций и другие актуальные темы. Создатель новой вредоносной программы принимает отзывы от авторитетных членов подпольного хакерского сообщества и предлагает им поделиться предложениями по улучшению Mystic.

Cyfirma сообщает, что специалисты проверили эффективность вредоносного ПО и подтвердили, что, несмотря на его ранний статус разработки, оно является мощным средством для кражи информации.

Mystic Stealer может быть нацелен на все версии Windows, включая XP до 11, поддерживая 32- и 64-битные архитектуры ОС. Вредоносная программа не нуждается в каких-либо дополнительных модулях. Поэтому ее воздействие на зараженные системы минимально, а работающая в памяти, она не обнаруживается антивирусными продуктами.

Начиная с 20 мая 2023 года создатель вредоносного ПО добавил функциональность загрузчика, позволяющую Mystic получать дополнительные полезные нагрузки с сервера C2. Вся связь с C2 шифруется с использованием специального бинарного протокола через TCP, а все украденные данные отправляются напрямую на сервер без предварительного сохранения на диске.

Это необычный подход для вредоносных программ для кражи информации, но он помогает Mystic избежать обнаружения. Оператор может настроить до четырех конечных точек C2 для отказоустойчивости, которые зашифрованы с использованием модифицированного алгоритма на основе XTEA.


Страница конструктора на панели Mystic

Возможности кражи информации нового вредоносного ПО

При первом запуске Mystic собирает информацию об ОС и оборудовании и делает снимок экрана, отправляя данные на C2-сервер злоумышленника. В зависимости от полученных инструкций вредоносная программа будет нацелена на более конкретные данные, хранящиеся в веб-браузерах, приложениях и т. д.

В отчете Zscaler и Inquest приводится полный список целевых приложений, который включает в себя популярные веб-браузеры, менеджеры паролей и приложения для криптовалютных кошельков. Среди них:

  • Google
  • Opera
  • Microsoft Edge
  • Brave
  • Аутентификатор Гаута
  • Аутентификатор EOS
  • LastPass: бесплатный менеджер паролей
  • Менеджер паролей RoboForm
  • Dashlane — менеджер паролей
  • Менеджер паролей NordPass и цифровое хранилище
  • Browserpass
  • Менеджер паролей и аутентификатор MYKI и так далее.

Его появление сигнализирует о повышенном риске для пользователей и организаций. Вполне вероятно, что вскоре появятся новые версии этого вредоносного ПО для кражи информации.

Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News

freedmanclub.com