Un nouveau logiciel malveillant voleur d’informations appelé Voleur mystique a été trouvé pour voler des données d’environ 40 navigateurs Web différents et plus de 70 extensions de navigateur Web.
Annoncé pour la première fois le 25 avril 2023, pour 150 $ par mois, le logiciel malveillant cible également les portefeuilles de crypto-monnaie, Steam et Telegram, et utilise des mécanismes étendus pour résister à l’analyse.
« Le code est fortement obscurci en utilisant l’obscurcissement des chaînes polymorphes, la résolution d’importation basée sur le hachage et le calcul d’exécution des constantes », Enquête et Échelle Z ont déclaré les chercheurs dans une analyse publiée la semaine dernière.
Mystic Stealer, comme de nombreuses autres solutions de logiciels criminels proposées à la vente, se concentre sur le vol de données et est implémenté dans le langage de programmation C. Le panneau de contrôle a été développé en Python.
Les mises à jour du logiciel malveillant en mai 2023 intègrent un composant de chargeur qui lui permet de récupérer et d’exécuter les charges utiles de la prochaine étape extraites d’un serveur de commande et de contrôle (C2), ce qui en fait une menace plus redoutable.
Les communications C2 sont réalisées à l’aide d’un protocole binaire personnalisé sur TCP. Pas moins de 50 serveurs C2 opérationnels ont été identifiés à ce jour. Le panneau de contrôle, pour sa part, sert d’interface aux acheteurs du voleur pour accéder aux journaux de données et à d’autres configurations.
La société de cybersécurité Cyfirma, qui publié une analyse simultanée de Mystic, a déclaré que « l’auteur du produit invite ouvertement des suggestions d’améliorations supplémentaires du voleur » via un canal Telegram dédié, indiquant des efforts actifs pour courtiser la communauté cybercriminelle.
« Il semble clair que le développeur de Mystic Stealer cherche à produire un voleur à la hauteur des tendances actuelles de l’espace des logiciels malveillants tout en essayant de se concentrer sur l’anti-analyse et l’évasion de la défense », ont déclaré les chercheurs.
Les découvertes arrivent comme voleurs d’infos sont devenus une denrée rare dans l’économie souterraine, servant souvent de précurseur en facilitant la collecte d’informations d’identification pour permettre un accès initial aux environnements cibles.
En d’autres termes, les voleurs sont utilisés comme base par d’autres cybercriminels pour lancer des campagnes à motivation financière qui utilisent des rançongiciels et des éléments d’extorsion de données.
Nonobstant le pic de popularité, les logiciels malveillants voleurs prêts à l’emploi ne sont pas commercialisés à des prix abordables pour attirer un public plus large, ils évoluent également pour devenir plus meurtriers, intégrant des techniques avancées pour voler sous le radar.
La nature en constante évolution et volatile de l’univers des voleurs est mieux illustrée par l’introduction régulière de nouvelles souches telles que Voleur d’albums, Voleur de bandits, Devopt, Fractureuret Rhadamanthys Ces derniers mois.
Dans un autre signe des tentatives des acteurs de la menace pour échapper à la détection, des voleurs d’informations et des chevaux de Troie d’accès à distance ont été observés intégrés dans des crypteurs comme AceCryptor, ScrubCrypt (alias BatCloak) et Snip3.
Le développement vient également en tant que HP Wolf Security détaillé une campagne ChromeLoader de mars 2023 nommée Shampoo qui est conçue pour installer une extension malveillante dans Google Chrome et voler des données sensibles, rediriger les recherches et injecter des publicités dans la session de navigateur d’une victime.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
« Les utilisateurs ont rencontré le logiciel malveillant principalement en téléchargeant du contenu illégal, tel que des films (Cocaine Bear.vbs), des jeux vidéo ou autres », a déclaré le chercheur en sécurité Jack Royer. a dit. « Ces sites Web incitent les victimes à exécuter un VBScript malveillant sur leur PC qui déclenche la chaîne d’infection. »
Le VBScript procède ensuite au lancement du code PowerShell capable de terminer toutes les fenêtres Chrome existantes et d’ouvrir une nouvelle session avec l’extension malveillante décompressée à l’aide de l’argument de ligne de commande « –load-extension ».
Cela fait également suite à la découverte d’un nouveau cheval de Troie malveillant modulaire baptisé Pikabot, capable d’exécuter des commandes arbitraires et d’injecter des charges utiles fournies par un serveur C2, tel que Cobalt Strike.
L’implant, actif depuis le début de 2023, s’est avéré partager des ressemblances avec QBot en ce qui concerne les méthodes de distribution, les campagnes et les comportements des logiciels malveillants, bien qu’il n’y ait aucune preuve concluante reliant les deux familles.
« Pikabot est une nouvelle famille de logiciels malveillants qui implémente un ensemble complet de techniques anti-analyse et offre des capacités de porte dérobée communes pour charger du shellcode et exécuter des binaires arbitraires de deuxième étape », Zscaler a dit.