0
0
Um novo malware de roubo de informações chamado Mystic Stealer foi encontrado para roubar dados de cerca de 40 navegadores diferentes e mais de 70 extensões de navegador da web.
Anunciado pela primeira vez em 25 de abril de 2023, por US$ 150 por mês, o malware também tem como alvo carteiras de criptomoedas, Steam e Telegram, e emprega amplos mecanismos para resistir à análise.
“O código é fortemente ofuscado fazendo uso de ofuscação de cadeia de caracteres polimórfica, resolução de importação baseada em hash e cálculo de tempo de execução de constantes”, disseram os pesquisadores da InQuest e da Zscaler em uma análise publicada na semana passada.
Mystic Stealer, como muitas outras soluções de crimeware que são oferecidas para venda, se concentra em roubar dados e é implementado na linguagem de programação C. O painel de controle foi desenvolvido em Python.
As atualizações para o malware em maio de 2023 incorporam um componente de carregador que permite recuperar e executar cargas úteis de próximo estágio obtidas de um servidor de comando e controle (C2), tornando-o uma ameaça mais formidável.
As comunicações C2 são obtidas usando um protocolo binário personalizado sobre TCP. Até o momento, foram identificados 50 servidores C2 operacionais. O painel de controle, por sua vez, serve como interface para os compradores do roubo acessarem logs de dados e outras configurações.
A empresa de segurança cibernética Cyfirma, que publicou uma análise simultânea da Mystic, disse que “o autor do produto convida abertamente sugestões para melhorias adicionais no roubo” por meio de um canal dedicado no Telegram, indicando esforços ativos para cortejar a comunidade de cibercriminosos.
“Parece claro que o desenvolvedor de Mystic Stealer está procurando produzir um roubo no mesmo nível das tendências atuais do espaço de malware, enquanto tenta se concentrar em anti-análise e evasão de defesa”, disseram os pesquisadores.
As descobertas vêm no momento em que os infostealers emergiram como uma commodity quente na economia subterrânea, muitas vezes servindo como precursor, facilitando a coleta de credenciais para permitir o acesso inicial aos ambientes alvo.
Dito de outra forma, os ladrões são usados como base por outros cibercriminosos para lançar campanhas com motivação financeira que empregam elementos de ransomware e extorsão de dados.
Apesar do pico de popularidade, os malwares de roubo de prateleira não estão apenas sendo comercializados a preços acessíveis para atrair um público mais amplo, mas também estão evoluindo para se tornarem mais letais, usando técnicas avançadas para voar sob o radar.
A natureza em constante evolução e volátil do universo do roubo é melhor exemplificada pela introdução constante de novas cepas como Album Stealer, Aurora Stealer, Bandit Stealer, Devopt, Fractureiser e Rhadamanthys nos últimos meses.
Em mais um sinal das tentativas dos agentes de ameaças de escapar da detecção, ladrões de informações e trojans de acesso remoto foram observados empacotados dentro de crypters como AceCryptor, ScrubCrypt (também conhecido como BatCloak) e Snip3.
O desenvolvimento também ocorre quando a HP Wolf Security detalhou uma campanha do ChromeLoader de março de 2023 com o codinome Shampoo, projetada para instalar uma extensão maliciosa no Google Chrome e roubar dados confidenciais, redirecionar pesquisas e injetar anúncios na sessão do navegador de uma vítima.PRÓXIMO WEBINAR🔐 Gerenciamento de acesso privilegiado: saiba como vencer os principais desafios
Descubra diferentes abordagens para vencer os desafios do Gerenciamento de Contas Privilegiadas (PAM) e aumentar o nível de sua estratégia de segurança de acesso privilegiado.Participe do Webinar
“Os usuários encontraram o malware principalmente ao baixar conteúdo ilegal, como filmes (Cocaine Bear.vbs), videogames ou outros”, disse o pesquisador de segurança Jack Royer. “Esses sites enganam as vítimas para que executem um VBScript malicioso em seus PCs que aciona a cadeia de infecção.”
Em seguida, o VBScript inicia o código do PowerShell capaz de encerrar todas as janelas existentes do Chrome e abrir uma nova sessão com a extensão descompactada usando o argumento de linha de comando “–load-extension“.
Ele também segue a descoberta de um novo trojan de malware modular batizado Pikabot que tem a capacidade de executar comandos arbitrários e injetar cargas úteis que são fornecidas por um servidor C2, como o Cobalt Strike.
O implante, ativo desde o início de 2023, foi encontrado para compartilhar semelhanças com QBot no que diz respeito a métodos de distribuição, campanhas e comportamentos de malware, embora não haja evidências conclusivas ligando as duas famílias.
“O Pikabot é uma nova família de malware que implementa um extenso conjunto de técnicas anti-análise e oferece recursos comuns de backdoor para carregar shellcode e executar binários arbitrários de segundo estágio”, disse Zscaler.
FONTE: THE HACKER NEWS