Mystic Stealer adlı yepyeni bir bilgi hırsızı, Nisan 2023’te ortaya çıktı; yaklaşık 40 web tarayıcısı ve 70’den fazla tarayıcı uzantısının kimlik bilgileri Mystic tarafından çalındı.
Bu casus yazılım aynı zamanda Steam, Telegram ve kripto para cüzdanlarını da hedefler. Ek olarak, RC4 ile şifrelenmiş tescilli ikili protokol Mystic tarafından uygulanmaktadır.
Özellikle, kod, polimorfik dizi gizleme, karma tabanlı içe aktarma çözünürlüğü ve çalışma zamanı sabit hesaplaması kullanılarak büyük ölçüde gizlenir.
Mystic Stealer’ın Çalışması
Zscaler ve InQuest birlikte, kötü amaçlı yazılımın derinlemesine bir teknik analizini sundu. Mystic Stealer, veri hırsızlığı konusunda uzmanlaşmıştır ve çeşitli farklı türde verileri çalabilir.
Sistem ana bilgisayar adı, kullanıcı adı ve GUID gibi bilgisayar verilerini toplamak için tasarlanmıştır.
Ek olarak, yerel ayarı ve klavye düzenini kullanarak olası bir sistem kullanıcısının coğrafi konumunu belirler. Anahtar Veriler, Mystic Stealer’ın işlevleri kullanılarak kripto para cüzdanlarından ve web tarayıcılarından çıkarılabilir.
Kripto para cüzdanları, tarayıcı geçmişi, isteğe bağlı dosyalar, tanımlama bilgileri ve otomatik doldurma verileri hakkında bilgi toplar.
Mystic Stealer, Bitcoin, DashCore, Exodus ve daha fazlası dahil olmak üzere tüm büyük kripto para cüzdanlarını yönetecek şekilde donatılmıştır. Mystic, Steam ve Telegram giriş bilgilerini de çalabilir.
Hedef kimlik bilgilerinin şifresini çözmek veya kodunu çözmek için hırsız, üçüncü taraf kitaplıklarının entegrasyonunu gerektirmez.
Araştırmacılar, “Mystic Stealer, virüs bulaşmış bir sistemden bilgi toplar ve sızdırır ve ardından verileri ayrıştırmayı işleyen komut ve kontrol (C2) sunucusuna gönderir” dedi.
Kötü Amaçlı Yazılım Tarafından Toplanan Sistem Verilerinin Listesi
- Klavye düzeni
- yerel ayar
- işlemci bilgisi
- CPU işlemci sayısı
- Ekran boyutları
- Bilgisayar adı
- Kullanıcı adı
- Çalışan süreçler
- Sistem mimarisi
- İşletim sistemi sürümü
Siber güvenlik haberleri, kötü amaçlı yazılımın kripto para hırsızlığı için 70’in üzerinde web tarayıcı uzantısını hedeflediğini ve iki faktörlü kimlik doğrulama (2FA) hizmetlerini hedeflemek için aynı yetenekleri kullandığını öğrendi.
Yeni kötü amaçlı yazılım yüklerini indirme ve yürütme kapasitesine yükleyici adı verilir.
Bu, yükleyicilerin bir tehdit aktörünün bağlı kuruluş kötü amaçlı yazılımlarının güvenliği ihlal edilmiş cihazlarda yayılmasını teşvik etmesine olanak sağladığı süregelen bir eğilimi yansıtıyor.
Ayrıca, koddaki sabit değerler karartılır ve çalışma zamanında dinamik olarak hesaplanır.
Mystic Stealer, komut ve kontrol (C2) sunucularıyla etkileşim kurmak için TCP üzerinden benzersiz bir ikili protokol kullanır.
Hırsız, Fransa, Almanya, Rusya, Amerika Birleşik Devletleri ve Çin’deki kayıtlar dahil ancak bunlarla sınırlı olmamak üzere, çok çeşitli ülkelerdeki birçok sunucu barındırma IP adresiyle ilişkilendirilmiştir.
Ayrıca araştırmacılar, Letonya, Bulgaristan ve Rusya’nın barındırma bölgelerinde bazı sunucuların bulunduğunu belirtiyor.
Mystic Stealer yeni bir oyuncu olduğu için geleceğini tahmin etmek zor. Ancak ciddi zararlara yol açabilecek karmaşık bir tehlikedir.
Hepsi Bir Arada Çoklu İşletim Sistemi Yama Yönetimi Platformu Arıyor – Patch Manager Plus’ı Deneyin