Um novo malware de roubo de informações chamado 'Mystic Stealer' tem sido promovido em fóruns de hackers e mercados darknet desde abril de 2023, rapidamente ganhando destaque na comunidade de crimes cibernéticos.
O malware, alugado por $150/mês, tem como alvo 40 navegadores da web, 70 extensões de navegador, 21 aplicativos de criptomoeda, 9 aplicativos de gerenciamento de senhas e MFA, 55 extensões de navegador de criptomoeda, credenciais do Steam e do Telegram, entre outros.
Dois relatórios individuais sobre o Mystic Stealer, publicados quase simultaneamente pela Zscaler e Cyfirma, alertam sobre a emergência do novo malware, sua sofisticação e o que parece ser um aumento nas vendas que traz muitas novas campanhas online.
O Mystic Stealer estreou na versão 1.0 no final de abril de 2023, mas rapidamente se expandiu para a versão 1.2 no final de maio, indicando um desenvolvimento ativo para o projeto.
O vendedor anunciou o novo malware em vários fóruns de hackers, incluindo o WWH-Club, BHF e XSS, alugando-o para indivíduos interessados pelo preço competitivo de assinatura de $150 por mês ou $390 por trimestre.
O projeto também opera um canal do Telegram (Mystic Stealer News) onde notícias de desenvolvimento, solicitações de recursos e outros tópicos relevantes são discutidos.
É relatado que o criador do novo malware aceita feedback de membros estabelecidos da comunidade de hackers clandestinos e os convida abertamente a compartilhar sugestões para melhorar o Mystic.
A Cyfirma relata que veteranos do espaço verificaram a eficácia do malware e confirmaram que, apesar de seu status de desenvolvimento inicial, é um potente roubador de informações.
O Mystic Stealer pode atacar todas as versões do Windows, incluindo XP até 11, suportando arquiteturas de sistema operacional de 32 e 64 bits.
O malware não precisa de nenhuma dependência, então sua pegada em sistemas infectados é mínima, enquanto ele opera na memória para evitar a detecção de produtos antivírus.
Além disso, o Mystic realiza várias verificações anti-virtualização, como inspecionar os detalhes do CPUID para garantir que não seja executado em ambientes de sandbox.
O autor do Mystic adicionou uma exclusão para os países da Comunidade dos Estados Independentes (CEI) (anteriormente a União Soviética), o que pode indicar a origem do novo malware.
A Zscaler relata que outra restrição definida pelo criador é evitar que o malware execute compilações anteriores a uma data específica, possivelmente para minimizar a exposição do malware a pesquisadores de segurança.
A partir de 20 de maio de 2023, o autor do malware adicionou uma funcionalidade de carregador, permitindo que o Mystic busque payloads adicionais do servidor C2.
Toda a comunicação com o C2 é criptografada usando um protocolo binário personalizado sobre TCP, enquanto todos os dados roubados são enviados diretamente para o servidor sem serem armazenados no disco.
Esta é uma abordagem incomum para malware de roubo de informações, mas ajuda o Mystic a evitar detecção.
O operador pode configurar até quatro pontos de extremidade C2 para resiliência, que são criptografados usando um algoritmo baseado em XTEA modificado.
Na primeira execução, o Mystic coleta informações do sistema operacional e do hardware e tira uma captura de tela, enviando os dados para o servidor C2 do atacante.
Dependendo das instruções que recebe, o malware irá direcionar dados mais específicos armazenados em navegadores da web, aplicativos, etc.
O relatório da Zscaler fornece a lista completa de aplicativos alvo, que inclui navegadores da web populares, gerenciadores de senhas e aplicativos de carteira de criptomoeda.
Embora o futuro do Mystic Stealer ainda esteja em debate, considerando a natureza volátil de projetos ilegais MaaS, sua emergência sinaliza um risco elevado para usuários e organizações.
A recente adição de uma funcionalidade de carregador pode ajudar os operadores do Mystic a soltar payloads como ransomware em computadores comprometidos, portanto, é recomendada extrema cautela ao baixar software da internet.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...