本文来自微信公众号“网络研究院”。
一种名为Mystic Stealer的新型信息窃取恶意软件被发现可以从大约40种不同的网络浏览器和70多种网络浏览器扩展中窃取数据。
该恶意软件于2023年4月25日首次发布广告,每月收费150美元,它还针对加密货币钱包、Steam和Telegram,并采用广泛的机制来抵制分析。
InQuest和Zscaler的研究人员在上周发表的一份分析报告中说:“使用多态字符串混淆、基于哈希的导入解析和常量的运行时计算,代码被严重混淆了。”
与许多其他出售的犯罪软件解决方案一样,Mystic Stealer专注于窃取数据并以C编程语言实现。控制面板是使用Python开发的。
2023年5月对该恶意软件的更新包含一个加载程序组件,该组件允许它检索和执行从命令和控制(C2)服务器获取的下一阶段有效负载,使其成为更强大的威胁。
C2通信是使用基于TCP的自定义二进制协议实现的。迄今为止,已经确定了多达50个可操作的C2服务器。就其本身而言,控制面板充当窃取器购买者访问数据日志和其他配置的界面。
网络安全公司Cyfirma同时发布了对Mystic的分析,称该产品的作者通过专门的Telegram频道公开征求对窃取程序进行额外改进的建议,表明他们正在积极努力取悦网络犯罪社区。
很明显,Mystic Stealer的开发人员正在寻求与恶意软件领域的当前趋势相提并论的窃取程序,同时试图专注于反分析和防御规避。
调查结果出炉之际,信息窃取者已成为地下经济中的热门商品,通常通过促进收集凭据以实现对目标环境的初始访问来充当先驱。
换句话说,窃取者被其他网络犯罪分子用作发起以经济为动机的活动的基础,这些活动采用勒索软件和数据勒索元素。
尽管人气飙升,但现成的窃取恶意软件并没有以可承受的价格进行销售以吸引更广泛的受众,它们还在进化以变得更具杀伤力,并采用先进技术以躲避雷达。
窃取者世界不断发展和变化无常的本质最好的例子是最近几个月不断引入的新变种,例如Album Stealer、Bandit Stealer、Devopt、Fractureiser和Rhadamanthys。
进一步表明威胁行为者试图逃避检测的迹象是,我们观察到信息窃取程序和远程访问木马被打包在AceCryptor、ScrubCrypt(又名BatCloak)和Snip3等加密程序中。
HP Wolf Security还详细介绍了2023年3月代号为Shampoo的ChromeLoader活动,该活动旨在在Google Chrome中安装恶意扩展程序并窃取敏感数据、重定向搜索并将广告注入受害者的浏览器会话。
用户遇到恶意软件主要是因为下载了非法内容,例如电影(Cocaine Bear.vbs)、视频游戏或其他内容。这些网站诱使受害者在他们的PC上运行恶意VBScript,从而触发感染链。
然后,VBScript继续启动PowerShell代码,该代码能够终止所有现有的Chrome窗口,并使用“--load-extension”命令行参数打开一个带有未打包的流氓扩展的新会话。
还发现了一种名为Pikabot的新模块化恶意软件木马,它能够执行任意命令并注入C2服务器提供的有效负载,例如Cobalt Strike。
该植入程序自2023年初开始活跃,已被发现在分发方法、活动和恶意软件行为方面与QBot有相似之处,尽管没有确凿的证据将这两个家族联系起来。
Pikabot是一个新的恶意软件家族,它实施了一套广泛的反分析技术,并提供了常见的后门功能来加载shellcode和执行任意的第二阶段二进制文件。