Bir bilgi hırsızı olan Mystic Stealer, yaklaşık 40 tarayıcıdan veri çalabilir ve gelişmiş kodlamasıyla tespit edilmekten kurtulabilir.
Kod, polimorfik dize gizleme ve karma tabanlı içe aktarma çözünürlüğü kullanılarak karartılır. Bu kötü amaçlı yazılım, hassas bilgilere yetkisiz erişim elde etmeyi amaçlayan çeşitli diğer uygulama ve dosyalarla birlikte özellikle kripto para birimi cüzdanlarını hedefler.
Mystic Stealer, Telegram ve Steam gibi platformlardan kimlik bilgilerini ve verileri toplayarak bilgisayar korsanlarının ve dolandırıcıların siber casusluk faaliyetleri yürütmesini sağlar. Ek olarak, Mystic Stealer, klavye düzenlerini kullanarak ana bilgisayar adı, kullanıcı adı, GUID ve hatta coğrafi konum gibi çeşitli cihazla ilgili bilgileri çalma yeteneğine sahiptir.
Mystic Stealer tarafından çalınan veriler
Klavye düzenine, bilgisayar korsanlarına gönderilmek üzere kötü amaçlı yazılım tarafından erişilir. CPU verilerini ve CPU işlemci sayısını okur.
Ayrıca ekran boyutlarına ve makinede çalışan işlemlere erişim sağlar. Ayrıca işletim sistemi sürümünü ve sistem mimarisini komut ve kontrol (C2) sunucusuna gönderir.
tarayıcı verileri
- Verileri otomatik doldur
- Tarih
- rastgele dosyalar
- Kurabiye
Cüzdanlardan kripto para birimi verileri
- Bitcoin
- DashCore
- Çıkış
Mystic hırsız, kimlik bilgilerinin şifresini çözmek için üçüncü taraf kitaplıklarına bağlı olmadığı için diğer hırsızlardan farklıdır. Kurulumdan sonra kimlik bilgilerini çıkarmak için DLL dosyalarını gösteren diğer hırsızların aksine, Mystic hırsızı verileri çalar ve bunları ayrıştıran komut ve kontrol sunucusuna gönderir, bir Zscaler blogunda okudu.
Bunun nedeni, kötü amaçlı yazılımın geliştiricilerinin kötü amaçlı yazılım ikili dosyasının boyutunu en aza indirmek istemeleri olabilir. Kötü amaçlı yazılım, istemci için C dilinde uygulanır ve kontrol paneli için Python’u kullanır.
Nisan ayından bu yana karanlık ağda reklamı yapılan kötü amaçlı yazılım, Mystic hırsız geliştiricilerinin aşağıda gösterildiği gibi web sayfalarında reklamını yaptıkları yeni bir güncellemeye sahipti –
(Fotoğraf: Zscaler)
Reklamı yapılan özellikler, yükleyici işlevlerini ve bir cihazda daha uzun süre kalmak için kalıcılık özelliğini içeriyordu.
Süre bitiminden sonra ikili dosyanın sonlandırılması
Çalışan yapı, geliştiricilerin işaretlediğinden daha eskiyse, Mystic hırsız yürütmesini sonlandıracaktır. Bu muhtemelen kötü amaçlı yazılımdan koruma araştırmacılarının tespitinden kaçmak için bir taktikti.
(Fotoğraf: Zscaler)
Yukarıdaki Mystic hırsız örneği, 1685318914 (0x6473ED02) değeriyle karşılaştırmak için sistem zamanını arar; bu değer, 28 Mayıs 17:08:34 2023 Pazına karşılık gelir. Mystic hırsızının sanallaştırma önleme tekniği, yürütmeyi önlemek için çalışma zamanı ortamını algılar kırmızı bayrak aldığında.
Bu, sanal yazılımın varlığını tanımlayan belirli değerlerin sonuçları aracılığıyla sanal ortamı algılayan CPUID derleme yönergesi kullanılarak yapılır. Bu algılamaya, kötü amaçlı yazılımın 12 baytlık üretici kimliği dizesini algılamak için gerçekleştirdiği kontroller yardımcı olur.
Aşağıdaki değerleri aradığı bulunmuştur –
- “XenVMMXenVMM” (Xen HVM)
- “VMwareVMware” (VMware)
- “Microsoft Hv” (Microsoft Hyper-V)
- “KVMKVMKVM” (KVM)
- “prl hyperv” (Paraleller)
- “VBoxVBoxVBox” (Sanal Kutu)
Araştırmacılar, algılama kodunun sanal makineleri arayan bir test aracı olan Pafish’ten türetildiğinden şüpheleniyor.
Mystic hırsız ile C2 sunucu etkileşimleri
Aşağıda, C2 sunucusu için Python’daki şifre çözme algoritmasının bir ekran görüntüsü verilmiştir.
(Fotoğraf: Zscaler)
Mystic, Python’da özel bir XOR karma algoritması aracılığıyla Windows API’lerini dinamik olarak yükler. Zscaler blogu, kötü amaçlı yazılımın dinamik sabit hesaplaması hakkında “Koddaki sabit değerler gizlenir ve çalışma zamanında dinamik olarak hesaplanır” dedi.
C2 sunucusuna gönderilen veriler, veri türünü işaretlemek için ikili etiketlerle etiketlenir. Kötü amaçlı yazılım, saldırıya uğramış cihazdaki tüm verileri toplar ve diske yazmadan bir kerede C2 sunucusuna gönderir, bu da bilgisayar korsanının girişimini antivirüs tespitinden daha fazla korur.
Mystic Steler, cihaz çevrimdışı bırakıldığında veya engellenenler listesindeyken bile çalışmasını sağlamak için dört adede kadar C2 uç noktasına sahip olabilir.