本文來自微信公眾號“網(wǎng)絡(luò)研究院”。
一種名為Mystic Stealer的新型信息竊取惡意軟件被發(fā)現(xiàn)可以從大約40種不同的網(wǎng)絡(luò)瀏覽器和70多種網(wǎng)絡(luò)瀏覽器擴展中竊取數(shù)據(jù)。
該惡意軟件于2023年4月25日首次發(fā)布廣告,每月收費150美元,它還針對加密貨幣錢包、Steam和Telegram,并采用廣泛的機制來抵制分析。
InQuest和Zscaler的研究人員在上周發(fā)表的一份分析報告中說:“使用多態(tài)字符串混淆、基于哈希的導(dǎo)入解析和常量的運行時計算,代碼被嚴重混淆了。”
與許多其他出售的犯罪軟件解決方案一樣,Mystic Stealer專注于竊取數(shù)據(jù)并以C編程語言實現(xiàn)。控制面板是使用Python開發(fā)的。
2023年5月對該惡意軟件的更新包含一個加載程序組件,該組件允許它檢索和執(zhí)行從命令和控制(C2)服務(wù)器獲取的下一階段有效負載,使其成為更強大的威脅。
C2通信是使用基于TCP的自定義二進制協(xié)議實現(xiàn)的。迄今為止,已經(jīng)確定了多達50個可操作的C2服務(wù)器。就其本身而言,控制面板充當(dāng)竊取器購買者訪問數(shù)據(jù)日志和其他配置的界面。
網(wǎng)絡(luò)安全公司Cyfirma同時發(fā)布了對Mystic的分析,稱該產(chǎn)品的作者通過專門的Telegram頻道公開征求對竊取程序進行額外改進的建議,表明他們正在積極努力取悅網(wǎng)絡(luò)犯罪社區(qū)。
很明顯,Mystic Stealer的開發(fā)人員正在尋求與惡意軟件領(lǐng)域的當(dāng)前趨勢相提并論的竊取程序,同時試圖專注于反分析和防御規(guī)避。
調(diào)查結(jié)果出爐之際,信息竊取者已成為地下經(jīng)濟中的熱門商品,通常通過促進收集憑據(jù)以實現(xiàn)對目標(biāo)環(huán)境的初始訪問來充當(dāng)先驅(qū)。
換句話說,竊取者被其他網(wǎng)絡(luò)犯罪分子用作發(fā)起以經(jīng)濟為動機的活動的基礎(chǔ),這些活動采用勒索軟件和數(shù)據(jù)勒索元素。
盡管人氣飆升,但現(xiàn)成的竊取惡意軟件并沒有以可承受的價格進行銷售以吸引更廣泛的受眾,它們還在進化以變得更具殺傷力,并采用先進技術(shù)以躲避雷達。
竊取者世界不斷發(fā)展和變化無常的本質(zhì)最好的例子是最近幾個月不斷引入的新變種,例如Album Stealer、Bandit Stealer、Devopt、Fractureiser和Rhadamanthys。
進一步表明威脅行為者試圖逃避檢測的跡象是,我們觀察到信息竊取程序和遠程訪問木馬被打包在AceCryptor、ScrubCrypt(又名BatCloak)和Snip3等加密程序中。
HP Wolf Security還詳細介紹了2023年3月代號為Shampoo的ChromeLoader活動,該活動旨在在Google Chrome中安裝惡意擴展程序并竊取敏感數(shù)據(jù)、重定向搜索并將廣告注入受害者的瀏覽器會話。
用戶遇到惡意軟件主要是因為下載了非法內(nèi)容,例如電影(Cocaine Bear.vbs)、視頻游戲或其他內(nèi)容。這些網(wǎng)站誘使受害者在他們的PC上運行惡意VBScript,從而觸發(fā)感染鏈。
然后,VBScript繼續(xù)啟動PowerShell代碼,該代碼能夠終止所有現(xiàn)有的Chrome窗口,并使用“--load-extension”命令行參數(shù)打開一個帶有未打包的流氓擴展的新會話。
還發(fā)現(xiàn)了一種名為Pikabot的新模塊化惡意軟件木馬,它能夠執(zhí)行任意命令并注入C2服務(wù)器提供的有效負載,例如Cobalt Strike。
該植入程序自2023年初開始活躍,已被發(fā)現(xiàn)在分發(fā)方法、活動和惡意軟件行為方面與QBot有相似之處,盡管沒有確鑿的證據(jù)將這兩個家族聯(lián)系起來。
Pikabot是一個新的惡意軟件家族,它實施了一套廣泛的反分析技術(shù),并提供了常見的后門功能來加載shellcode和執(zhí)行任意的第二階段二進制文件。