Um novo malware focado em roubar informações de usuários e serviços de criptomoedas está sendo promovido nos fóruns de hackers da darknet. Segundo o segundo o site BleepingComputer, a ameaça começou a se alastrar em abril deste ano e recebeu o nome de “Mystic Stealer” (Ladrão Místico, em português).
Os criadores do malware oferecem o aluguel do “Ladrão Místico” por US$ 150/mês. As informações do BleepingComputer afirmam que ele consegue atingir 40 navegadores da web, 70 extensões de navegador, 21 aplicativos de criptomoeda, 9 MFA e aplicativos de gerenciamento de senha, 55 extensões de navegador para criptomoedas, credenciais Steam e Telegram e muito mais.
Relatórios sobre o “Mystic Stealer” foram publicados quase simultaneamente por três firmas de segurança digital (InQuest, Zscaler e Cyfirma), que apontam para a urgência em criar-se mecanismos de defesa contra este software descrito como “muito sofisticado” e tem se espalhado rapidamente.
O malware age coletando informações do sistema operacional e do hardware e realiza capturas de tela, enviando os dados para o servidor C2 do invasor.
Detalhes técnicos do Mystic Stealer
O “Mystic Stealer” pode atingir todas as versões do Windows, incluindo XP a 11, suportando arquiteturas de sistema operacional de 32 e 64 bits.
O malware não precisa de nenhuma dependência; portanto, seu rastro nos sistemas infectados é mínimo, enquanto opera na memória para evitar a detecção de produtos antivírus.
Além disso, o Mystic realiza várias verificações anti-virtualização, como inspecionar os detalhes do CPUID para garantir que não seja executado em ambientes de sandbox.
O autor de Mystic adicionou uma exclusão para os países da Comunidade de Estados Independentes (CEI) (antiga União Soviética), o que pode indicar a origem do novo malware.
Os relatórios da Zscaler e InQuest dizem que outra restrição definida pelo criador é impedir que o malware execute compilações anteriores a uma data especificada, possivelmente para minimizar a exposição do malware aos pesquisadores de segurança.
A partir de 20 de maio de 2023, o autor do malware adicionou uma funcionalidade de carregador que permite ao Mystic buscar cargas adicionais do servidor C2.
Toda a comunicação com o C2 é criptografada usando um protocolo binário personalizado sobre TCP, enquanto todos os dados roubados são enviados diretamente para o servidor sem primeiro armazená-los no disco.
Essa é uma abordagem incomum para malwares que roubam informações, mas ajuda o “Ladrão Místico” a evitar a detecção.
O operador pode configurar até quatro terminais C2 para resiliência, que são criptografados usando um algoritmo baseado em XTEA modificado.
Alvos mais populares, segundo relatórios
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Opera
- Vivaldi
- Brave-Browser
- Binance
- Exodus
- Bitcoin
- Litecoin
- Electrum
- Authy 2FA
- Gauth Authenticator
- EOS Authenticator
- LastPass: Free Password Manager
- Trezor Password Manager
- RoboForm Password Manager
- Dashlane — Password Manager
- NordPass Password Manager & Digital Vault
- Browserpass
- MYKI Password Manager & Authenticator
- Não perca dinheiro. No Mercado Bitcoin, você pode fazer staking de Ethereum de maneira segura e simples. Abra sua conta agora e comece a ganhar recompensas sobre seus investimentos em criptomoedas.
