據InQuest、Zscaler、Cyfirma等研究組織報告,地下市場最近冒出了一款名為Mystic Stealer的新惡意軟件,能夠從近40個Web瀏覽器和70多個瀏覽器擴展中竊取憑據,主要針對加密貨幣錢包、Steam和Telegram進行攻擊,并且還采用了多種機制來規避分析。
Mystic Stealer由C語言實現。控制面板則是用Python開發。作為一款專注于數據盜竊的惡意軟件,收集各種計算機信息自然不在話下,更危險的是其從Web瀏覽器(基于Chromium和Mozilla)和加密貨幣錢包中提取數據的能力。Mystic Stealer能夠收集自動填充數據、瀏覽歷史記錄、cookie 以及與加密貨幣錢包相關的信息,同時也有能力竊取Telegram和Steam憑據。
有意思的是,Mystic Stealer并非是通過集成第三方庫來解密或解碼目標憑據(一些先進的竊取程序會在安裝后下載 DLL 文件,以實現從本地系統上的文件中提取憑據的功能),而是在從受感染的系統收集信息后,將數據發送到處理解析的命令和控制(C2)服務器,目的可能是減小竊取程序二進制文件的大小。
此外,Mystic Stealer還采取了多種規避分析的措施:
①如果正在運行的版本與打算在受害者計算機上分發或執行樣本的時間不匹配,則木馬程序將終止執行,以此阻止反惡意軟件研究人員分析該樣本。
②通過檢測虛擬機環境以避免自身在沙盒環境中執行。
③竊取程序使用基于XOR的自定義哈希算法解析并動態加載Windows API。
④代碼中的常量在運行時經過混淆處理和動態計算。
⑤客戶端使用基于TCP的加密自定義協議與C2服務器通信。
⑥惡意軟件使用與ADVobfuscator非常相似的庫對字符串進行混淆處理,此技術可能會繞過靜態防病毒簽名并使惡意軟件逆向工程復雜化。
Mystic Stealer在內存中運行以逃避檢測,并利用系統調用來破壞目標,確保在數據泄露過程中不會在硬盤上留下任何痕跡。試驗結果表明,Mystic Stealer采用代碼操作技術逃避了大多數防病毒產品的檢測。據稱從XP到Win 11的所有Windows版本都在該惡意軟件的攻擊范圍之內。Mystic Stealer的這些能力及其在地下論壇中收獲的好評進一步吸引了不法分子的注意,需要警惕其對組織和個人有可能構成的重大威脅。
嘶吼專業版
安全圈
CNCERT國家工程研究中心
看雪學苑
關鍵基礎設施安全應急響應中心
安全圈
嘶吼專業版
GoUpSec
FreeBuf
系統安全運維
LemonSec
黑白之道
