Çok sayıda Web tarayıcısından ve uzantısından kimlik bilgilerini kaldırabilen ve kripto para birimini çalabilen gizli bir hırsız, ilk kez Nisan ayında yer altı pazar yerlerinde ortaya çıktığından beri kısa sürede siber suçluların gözdesi haline geldi.
Mystic Stealer, devam eden güncellemelere ve iyileştirmelere yol açan gelişmiş yetenekler, fiyatlandırma ve tavsiyelerin kitle kaynaklı kullanımı sayesinde varlığının yalnızca ilk birkaç ayında tehdit ortamında güçlü bir yer edindi. Bu, biri Cyfirma tarafından, diğeri Inquest ve Zscaler arasındaki bir işbirliği tarafından eşzamanlı olarak yayınlanan iki rapora göre.
Genellikle aylık 150 ABD Doları veya üç aylık bir abonelik için 390 ABD Doları tutarında bir abonelik ücreti ödeyen hırsız, kurbanın bilgisayarından bu tür kötü amaçlı yazılımların diğer biçimlerine veri çalmak için benzer yeteneklere sahiptir ve gizleme teknikleriyle eşleştirilmiştir. , tasarım gereği, gelişmiş kaçınma yeteneğine sahip, araştırmacılar dedi.
Zscaler araştırmacıları gönderilerinde “Mystic Stealer’ın geliştiricisinin, kötü amaçlı yazılım alanındaki mevcut trendlere eşit bir hırsız üretmeye çalışırken, anti-analiz ve savunma kaçırmaya odaklanmaya çalıştığı açık görünüyor.”
Mystic Stealer, sistem ana bilgisayar adı, kullanıcı adı ve GUID gibi bilgisayar verilerinden yaklaşık 40 Web tarayıcısından ve 70’den fazla tarayıcı uzantısından kimlik bilgilerine kadar çok çeşitli bilgileri çalabilir. Ek olarak, Bitcoin, DashCore, Exodus veya diğer popüler kripto para birimlerini hedefler ve Telegram ve Steam kimlik bilgilerini çalabilir.
Şimdiye kadar, araştırmacıların Mystic Stealer kullanan saldırganların en çok örneğini bulduğu bölgeler sırasıyla ABD, Almanya, Finlandiya, Fransa ve Rusya oldu.
Kaçınma ve Kötü Amaçlı Yazılım Geliştirme Taahhüdü
Araştırmacılar, benzer kötü amaçlı yazılım biçimleriyle karşılaştırıldığında Mystic Stealer’a özgü, mucitlerin onu tespit etmeyi veya analiz etmeyi zorlaştırma konusundaki ilgilerinin yanı sıra geri bildirim için kullanıcı tabanına başvurarak yeteneklerini sürekli geliştirme taahhüdünde bulunduğunu söyledi.
InQuest ve Zscaler’a göre, kaçınma açısından, Mystic Stealer’ın kodu, yaratıcılarının polimorfik dize gizleme, karma tabanlı içe aktarma çözünürlüğü ve sabitlerin çalışma zamanı hesaplamasının yanı sıra RC4 ile şifrelenmiş özel bir ikili protokol kullanması nedeniyle büyük ölçüde gizlenmiştir. .
Ancak, kötü amaçlı yazılımın bu kadar hızlı yakalanmasının belki de temel nedeni – araştırmacıların şimdiden yalnızca iki ay içinde 50’den fazla aktif olarak çalışan komuta ve kontrol (C2) sunucusu keşfetmesiyle birlikte – yaratıcılarının piyasaya sürülmesinden kısa süre sonra benzersiz bir şey yapmış olmalarıdır. Yani, Cyfirma araştırmacıları, hırsızı, etkinliğini doğrulamak ve hırsızın yeni sürümlerine dahil edilen iyileştirme önerilerinde bulunmak için yeraltı forum gazilerine test etmek için kullanıma sundular.
Cyfirma araştırmacıları gönderilerinde, “Tehdit aktörü, ürünle ilgili yeraltı forumunda yerleşik üyelerden onay almanın önemini anladığını gösteriyor.” “Ayrıca, ürünün yazarı, ürünü geliştirmek için devam eden bir çabayı gösteren güncellenmiş sürümlerde açıkça görüldüğü gibi, hırsızda ek iyileştirmeler için önerileri açıkça davet ediyor.”
Mystic Stealer De-Mystified: Teknik Detaylar
Teknik açıdan, Mystic Stealer, istemci için C’de ve kontrol paneli için Python’da uygulanıyor ve Cyfirma’ya göre hem x86 hem de x64 mimarilerini destekleyen XP’den Windows 11’e kadar tüm Windows sürümlerini hedeflediği iddia ediliyor.
Araştırmacılar, çoğu AV ürünü tarafından tespit edilmekten kaçınabilir, bellekte çalışabilir ve uzlaşmacı hedefler için sistem çağrılarını kullanabilir. Bu, veri sızdırma işlemi sırasında sabit diskte hiçbir iz kalmamasını sağlar.
Cyfirma araştırmacıları, “Hedef veriler belirlendikten sonra, kötü amaçlı yazılım onu sıkıştırır, şifreler ve iletir” diye yazdı. “İstemci kimlik doğrulaması gerekli değildir; veriler alındığı gibi iletilir.
Ayrıca, geliştiricileri, kötü amaçlı yazılımı, hedef kimlik bilgilerinin şifresini çözmek veya kodunu çözmek için üçüncü taraf kitaplıklarına güvenmeden oluşturdu, her iki rapora göre, bu kötü amaçlı yazılım hırsızlarına özgüdür.
InQuest ve Zscaler araştırmacıları, “Bazı önde gelen hırsız projeleri, yerel sistemdeki dosyalardan kimlik bilgilerini ayıklamak için işlevsellik uygulamak üzere kurulumdan sonra DLL dosyalarını indirir” diye yazdı.
Bunu yapmak yerine, Mystic Stealer virüslü bir sistemden bilgi toplar ve sızdırır ve ardından verileri ayrıştırmayı işleyen C2 sunucusuna gönderir, dediler.
Araştırmacılar, “Bu, birçok önde gelen hırsızdan farklı bir yaklaşım ve muhtemelen hırsız ikili dosyasının boyutunu daha küçük tutmak ve amacı dosya analizörleri için daha az net tutmak için alternatif bir tasarımdır” diye yazdı.
Bilgi Hırsızlarına Karşı Savunma
Araştırmacılar, özellikle kaçamaklı Mystic Stealer’ın hızla yayılması ve genel olarak hırsız kötü amaçlı yazılımın yaygınlığı nedeniyle, Cyfirma ekibinin kuruluşlara bir saldırının gelişinde uzlaşmayı önlemek için sağlam güvenlik önlemleri uygulamasını tavsiye ettiğini söyledi.
“Mystic Stealer, dış tehdit peyzaj yönetimi açısından önemli riskler ve potansiyel etkiler ortaya koyuyor” diye yazdılar.
Araştırmacılar, bunun tehdit önleme teknolojilerini, güncel antivirüs yazılımını, güvenlik duvarlarını, izinsiz giriş tespit sistemlerini ve düzenli güvenlik yamalarını birleştiren ve Mystic Stealer sızma riskini önemli ölçüde azaltabilecek en iyi uygulamaları içeren katmanlı bir savunma stratejisini içermesi gerektiğini söyledi.
Araştırmacılar ayrıca, kuruluşların Mystic Stealer ile ilişkili en son güvenlik ihlali göstergelerinden haberdar olabilmeleri için güvenlik toplulukları içinde tehdit bilgilerini paylaşarak ve tehdit-istihbarat beslemelerinden yararlanarak tehdit-istihbarat kaynaklarının sürekli izlenmesini devreye sokmaları gerektiğini söyledi. “Bu, erken tespit, müdahale ve hafifletme çabalarına izin veriyor” diye yazdılar.
Araştırmacılar, çalışanları en iyi güvenlik uygulamaları, hırsızı yaymaya çalışabilecek kimlik avı girişimlerinin nasıl fark edileceği konusunda eğitmenin ve genel bir güvenlik bilinci kültürünü sürdürmenin de kuruluşların uzlaşmadan kaçınmasına yardımcı olmak için çok önemli olduğunu söyledi.
Son olarak, her kuruluşun bir saldırı durumunda iletişim protokollerini, adli soruşturma süreçlerini ve yedekleme ve kurtarma stratejilerini içeren güçlü bir olaya müdahale planı olması gerektiğini de sözlerine eklediler.