一种名为Mystic Stealer的新信息窃取恶意软件被发现可以从大约40种不同的网络浏览器和超过70种网络浏览器扩展程序中窃取数据。
该恶意软件于2023年4月25日首次发布广告,每月收费150美元,还针对加密货币钱包、Steam和Telegram,并采用广泛的机制来抵制分析。
InQuest和Zscaler的研究人员在上周发表的一份分析报告中说:“代码使用了多态字符串混淆、基于散列的导入解析和常量的运行时计算。”
Mystic Stealer,像许多其他的犯罪软件解决方案一样,专注于窃取数据,并使用C程序设计语言实现。控制面板是用Python开发的。
2023年5月对该恶意软件的更新包含一个加载器组件,允许它检索和执行从命令和控制(C2)服务器获取的下一阶段有效载荷,使其成为一个更强大的威胁。
C2通信是使用TCP上的自定义二进制协议实现的。到目前为止,已经确定了多达50个可操作的C2服务器。控制面板作为用户访问数据日志和其他配置的接口。
网络安全公司Cyfirma发表了一份对神秘公司的并行分析,该公司表示,“该产品的作者通过一个专门的电报频道,公开征求对盗窃者进行进一步改进的建议”,这表明该公司正在积极努力讨好网络犯罪团体。
研究人员说:“很明显,神秘斯蒂尔公司的开发者正在寻找一款与当前恶意软件领域的趋势不相上下的窃贼,同时试图专注于反分析和防御规避。”
这些调查结果出炉之际,信息窃取者已经成为地下经济中的热门商品,通常作为先驱,通过促进收集凭证,使最初进入目标环境成为可能。
换句话说,窃取者被其他网络犯罪分子用作基础,以启动采用勒索软件和数据勒索元素的经济动机活动。
秒杀极其受欢迎,导致小偷恶意软件是不是正在以实惠的价格销售,以吸引更广泛的受众,他们也在不断发展,变得更加致命,包装先进的技术在雷达下飞行。
在最近的几个月里,新品种的不断推出,如专辑斯蒂勒、极光Stealer、Bandit Stealer、Devopt、Fractureiser和Rhadamanthys,最能体现潜行宇宙的不断演变和不稳定的性质。
另一种威胁行为者企图逃避检测的迹象是,在AceCryptor、SCrubCrypt(又名BatCloak)和Snip 3等密码器中,观察到了信息窃取者和远程访问木马。
与此同时,惠普沃尔夫安全公司(HP Wolf Security)详细介绍了2023年3月一场代号为“洗发精”的新活动,该活动代号为“洗发精”,旨在在谷歌Chrome中安装恶意扩展,窃取敏感数据,重定向搜索,并将广告注入受害者的浏览器会话。
“用户遇到的恶意软件主要来自下载非法内容,如电影(可卡因Bear.vbs)、电子游戏或其他,”安全研究员杰克·罗耶(JackRoyer)说。“这些网站诱使受害者在他们的电脑上运行一个恶意的VBScript,从而触发感染链。”
然后,VBScript启动PowerShell代码,该代码能够终止所有现有的Chrome窗口,并使用“-Load-Extending”命令行参数使用未打包的流氓扩展打开一个新会话。
此外,还发现了一种新的模块化恶意软件特洛伊木马Pikabot,它能够执行任意命令并注入C2服务器提供的有效载荷,例如Cobalt Strike。
该植入物自2023年初开始使用,在分发方法、运动和恶意软件行为方面与QBot相似,尽管没有确凿的证据表明这两个家族之间存在联系。
zscaler表示Pikabot是一个新的恶意软件家族,它实现了一套广泛的反分析技术,并提供了加载外壳代码和执行任意二级二进制文件的普通后门功能。