Un nuevo malware que roba información llamado Ladrón místico se ha descubierto que roba datos de unos 40 navegadores web diferentes y más de 70 extensiones de navegador web.
Anunciado por primera vez el 25 de abril de 2023, por $ 150 por mes, el malware también apunta a billeteras de criptomonedas, Steam y Telegram, y emplea amplios mecanismos para resistir el análisis.
«El código está muy ofuscado al hacer uso de la ofuscación de cadenas polimórficas, la resolución de importación basada en hash y el cálculo de constantes en tiempo de ejecución». Encuesta y Escalador Z dijeron los investigadores en un análisis publicado la semana pasada.
Mystic Stealer, como muchas otras soluciones de crimeware que se ofrecen a la venta, se centra en el robo de datos y se implementa en el lenguaje de programación C. El panel de control ha sido desarrollado utilizando Python.
Las actualizaciones del malware en mayo de 2023 incorporan un componente de carga que le permite recuperar y ejecutar cargas útiles de la próxima etapa obtenidas de un servidor de comando y control (C2), lo que lo convierte en una amenaza más formidable.
Las comunicaciones C2 se logran utilizando un protocolo binario personalizado sobre TCP. Hasta la fecha, se han identificado hasta 50 servidores C2 operativos. El panel de control, por su parte, sirve como interfaz para que los compradores del ladrón accedan a los registros de datos y otras configuraciones.
La empresa de ciberseguridad Cyfirma, que publicado un análisis concurrente de Mystic, dijo, «el autor del producto invita abiertamente a sugerencias para mejoras adicionales en el ladrón» a través de un canal dedicado de Telegram, lo que indica esfuerzos activos para cortejar a la comunidad ciberdelincuente.
«Parece claro que el desarrollador de Mystic Stealer está buscando producir un ladrón a la par con las tendencias actuales del espacio de malware mientras intenta enfocarse en el antianálisis y la evasión de defensa», dijeron los investigadores.
Los hallazgos vienen como ladrones de información han surgido como un producto de moda en la economía clandestina, a menudo sirviendo como precursor al facilitar la recopilación de credenciales para permitir el acceso inicial a los entornos de destino.
Dicho de otra manera, otros ciberdelincuentes utilizan a los ladrones como base para lanzar campañas motivadas financieramente que emplean ransomware y elementos de extorsión de datos.
A pesar del aumento de popularidad, el malware ladrón listo para usar no se comercializa a precios asequibles para atraer a un público más amplio, sino que también está evolucionando para volverse más letal, incorporando técnicas avanzadas para pasar desapercibido.
La naturaleza volátil y en constante evolución del universo de los ladrones se ejemplifica mejor con la introducción constante de nuevas cepas como Ladrón de álbumes, Ladrón de bandidos, Devoto, fracturadory radamanthys En meses recientes.
En otra señal de los intentos de los actores de amenazas por evadir la detección, se han observado ladrones de información y troyanos de acceso remoto empaquetados dentro de encriptadores como AceCryptor, ScrubCrypt (también conocido como BatCloak) y recorte3.
El desarrollo también llega como HP Wolf Security detallado una campaña de ChromeLoader de marzo de 2023 con nombre en código Shampoo que está diseñada para instalar una extensión maliciosa en Google Chrome y robar datos confidenciales, redirigir búsquedas e inyectar anuncios en la sesión del navegador de la víctima.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
«Los usuarios encontraron el malware principalmente al descargar contenido ilegal, como películas (Cocaine Bear.vbs), videojuegos u otros», dijo el investigador de seguridad Jack Royer. dicho. «Estos sitios web engañan a las víctimas para que ejecuten un VBScript malicioso en sus PC que desencadena la cadena de infección».
Luego, VBScript procede a iniciar el código de PowerShell capaz de cerrar todas las ventanas de Chrome existentes y abrir una nueva sesión con la extensión maliciosa desempaquetada utilizando el argumento de línea de comando «–load-extension».
También sigue al descubrimiento de un nuevo troyano de malware modular bautizado como Pikabot que tiene la capacidad de ejecutar comandos arbitrarios e inyectar cargas útiles proporcionadas por un servidor C2, como Cobalt Strike.
Se ha encontrado que el implante, activo desde principios de 2023, comparte similitudes con QBot con respecto a los métodos de distribución, campañas y comportamientos de malware, aunque no hay evidencia concluyente que conecte a las dos familias.
«Pikabot es una nueva familia de malware que implementa un amplio conjunto de técnicas antianálisis y ofrece capacidades comunes de puerta trasera para cargar shellcode y ejecutar binarios arbitrarios de segunda etapa», Zscaler dicho.