New Mystic Stealer malware increasingly used in attacks
มัลแวร์ขโมยข้อมูลตัวใหม่ชื่อ Mystic Stealer ได้รับการโปรโมตในฟอรัมแฮ็กและในดาร์กเว็บเน็ตตั้งแต่เดือนเมษายน 2566 ซึ่งได้รับความสนใจอย่างรวดเร็วในกลุ่มของอาชญากรรมไซเบอร์ มัลแวร์ตัวนี้มีให้เช่าในราคา $150 ต่อเดือน โดยกำหนดเป้าหมายเว็บเบราว์เซอร์ 40 รายการ, browser extensions 70 รายการ, แอปพลิเคชันสกุลเงินดิจิทัล 21 รายการ, แอปพลิเคชันจัดการ MFA และรหัสผ่าน 9 รายการ, cryptocurrency browser extensions 55 รายการ รวมไปถึงข้อมูลรับรอง Steam และ Telegram และอีกมากมาย รายงานสองฉบับเกี่ยวกับมัลแวร์ Mystic Stealer ซึ่งถูกเผยแพร่เกือบพร้อมกันโดย Zscaler และ Cyfirma โดยเตือนเกี่ยวกับการเกิดขึ้นของมัลแวร์ใหม่และความซับซ้อนของมัน
มัลแวร์ Mystic Stealer ได้เปิดตัวเวอร์ชัน 1.0 ในปลายเดือนเมษายน 2023 แต่เพิ่มเป็นเวอร์ชัน 1.2 อย่างรวดเร็วในช่วงปลายเดือนพฤษภาคม ซึ่งบ่งชี้ถึงการพัฒนาอย่างรวดเร็วสำหรับโปรเจ็กต์นี้ ผู้ขายโฆษณามัลแวร์ตัวใหม่บนฟอรัมแฮ็กหลายแห่ง รวมถึง WWH-Club, BHF และ XSS โดยให้เช่าแก่บุคคลที่สนใจในราคา 150 ดอลลาร์ต่อเดือนหรือ 390 ดอลลาร์ต่อไตรมาส โปรเจกต์ยังดำเนินการผ่าน Telegram โดยใช้ชื่อว่า Mystic Stealer News ซึ่งมีการพูดคุยเกี่ยวกับข่าวการพัฒนา คำขอฟีเจอร์ และหัวข้อที่เกี่ยวข้องอื่นๆ มีรายงานว่าผู้สร้างมัลแวร์ตัวใหม่ยอมรับข้อเสนอแนะจากสมาชิกที่จัดตั้งขึ้นของกลุ่มแฮ็คข้อมูลใต้ดินเพื่อใช้สำหรับการปรับปรุงมัลแวร์ Mystic ในรายงานของ Cyfirma รายงานว่าได้ตรวจสอบประสิทธิภาพของมัลแวร์แล้วและยืนยันว่าแม้จะอยู่ระหว่างการพัฒนาในช่วงต้น แต่ก็นับว่าเป็นมัลแวร์ขโมยข้อมูลที่มีศักยภาพสูงมาก มัลแวร์ Mystic Stealer สามารถกำหนดเป้าหมายไปยัง Windows ทุกรุ่น รวมถึง XP ถึง 11 ที่รองรับ OS 32 และ 64 บิต มันทำงานในหน่วยความจำเพื่อหลีกเลี่ยงการตรวจจับจากผลิตภัณฑ์ป้องกันไวรัส นอกจากนี้มัลแวร์ Mystic ยังดำเนินการตรวจสอบการทำงานของ anti-virtualizationหลายอย่าง เช่น การตรวจสอบรายละเอียด CPUID เพื่อให้แน่ใจว่าไม่ได้กำลังดำเนินการในสภาพแวดล้อมแบบแซนด์บ็อกซ์ และในรายงานของ Zscaler รายงานว่าข้อจำกัดอีกประการหนึ่งที่ผู้สร้างตั้งไว้คือป้องกันไม่ให้มัลแวร์เรียกใช้ builds ที่เก่ากว่าวันที่ระบุ ซึ่งอาจลดการเปิดเผยข้อมูลของมัลแวร์ต่อนักวิจัยด้านความปลอดภัย ตั้งแต่วันที่ 20 พฤษภาคม 2023 ที่ผ่านมาผู้เขียนมัลแวร์ได้เพิ่มฟังก์ชันตัวดาวน์โหลดที่ช่วยให้มัลแวร์ Mystic สามารถเรียกใช้เพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ C2 การสื่อสารทั้งหมดกับเซิร์ฟเวอร์ C2 นั้นจะถูกเข้ารหัสโดยใช้โปรโตคอลไบนารีที่กำหนดเองผ่าน TCP ในขณะที่ข้อมูลที่ถูกขโมยทั้งหมดจะถูกส่งไปยังเซิร์ฟเวอร์โดยตรงโดยไม่ต้องจัดเก็บไว้ในดิสก์ก่อน นี่ไม่ใช่วิธีการปกติสำหรับมัลแวร์ขโมยข้อมูล แต่ช่วยให้ Mystic หลบเลี่ยงการตรวจจับได้ เมื่อดำเนินการครั้งแรกมัลแวร์ Mystic จะรวบรวมข้อมูล OS และฮาร์ดแวร์ และจับภาพหน้าจอ ส่งข้อมูลไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตีซึ่งจะขึ้นอยู่กับคำแนะนำที่ได้รับ โดยมัลแวร์จะกำหนดเป้าหมายข้อมูลที่เจาะจงมากขึ้นซึ่งจัดเก็บไว้ในเว็บเบราว์เซอร์ แอปพลิเคชัน ฯลฯ
นอกจากนี้รายงานของ Zscaler ยังแสดงรายการแอปที่ตกเป้าหมายทั้งหมด ซึ่งรวมถึงเว็บเบราว์เซอร์ยอดนิยม ผู้จัดการรหัสผ่าน และแอป cryptocurrency wallet ดังนี้ - Google Chrome - Mozilla Firefox - Microsoft Edge - Opera - Vivaldi - Brave-Browser - Binance - Exodus - Bitcoin - Litecoin - Electrum - Authy 2FA - Gauth Authenticator - EOS Authenticator - LastPass: Free Password Manager - Trezor Password Manager - RoboForm Password Manager - Dashlane Password Manager - NordPass Password Manager & Digital Vault - Browserpass - MYKI Password Manager & Authenticator การเพิ่มตัวโหลดล่าสุดสามารถช่วยผู้ให้บริการมัลแวร์ Mystic ปล่อยเพย์โหลด เช่น แรนซัมแวร์ ลงบนคอมพิวเตอร์ที่ถูกบุกรุก ดังนั้น จึงควรระมัดระวังเป็นอย่างยิ่งเมื่อดาวน์โหลดซอฟต์แวร์จากอินเทอร์เน็ต
https://www.bleepingcomputer.com/news/security/new-mystic-stealer-malware-increasingly-used-in-attacks/