Un nuovo malware che ruba informazioni, chiamato Mystic Stealer, è stato scoperto mentre ruba dati da circa 40 diversi browser web e oltre 70 estensioni per browser web. Pubblicizzato per la prima volta il 25 aprile 2023, per 150 dollari al mese, il malware prende di mira anche i portafogli di criptovalute, Steam e Telegram, e impiega meccanismi estesi per resistere all’analisi.
Caratteristiche del Mystic Stealer
“Il codice è pesantemente offuscato, facendo uso di offuscamento di stringhe polimorfiche, risoluzione di importazione basata su hash e calcolo di costanti a runtime”, hanno detto i ricercatori di InQuest e Zscaler in un’analisi pubblicata la scorsa settimana. Mystic Stealer, come molte altre soluzioni crimeware che sono offerte in vendita, si concentra sul furto di dati ed è implementato nel linguaggio di programmazione C. Il pannello di controllo è stato sviluppato utilizzando Python.
Aggiornamenti al malware
Gli aggiornamenti al malware nel maggio 2023 incorporano un componente loader che gli permette di recuperare ed eseguire payload di prossima fase prelevati da un server di comando e controllo (C2), rendendolo una minaccia più formidabile. Le comunicazioni C2 sono realizzate utilizzando un protocollo binario personalizzato su TCP. Fino ad oggi sono stati identificati fino a 50 server C2 operativi. Il pannello di controllo, per la sua parte, funge da interfaccia per gli acquirenti dello stealer per accedere ai log dei dati e ad altre configurazioni.
