新Mystic Stealer惡意軟體　針對40種網頁瀏覽器與70種瀏覽器擴充功能

編譯／陳佩君

近期，研究人員發現了一款新型的資訊竊取惡意軟體—Mystic Stealer，這款惡意軟體不僅能夠竊取數據，還能從大約40種不同的瀏覽器和70多個瀏覽器擴充功能中進行竊取行為。Mystic Stealer於2023年4月25日首次在市場上亮相，價格為每月150美元（大約新台幣4,600元）。其主要針對加密貨幣錢包、Steam和Telegram等目標，並使用各種機制來阻止對其進行分析，包括多態字符串混淆（Polymorphic String Obfuscation）、基於哈希的導入解析（Hash-based Import Resolution）和運行時常數計算（Runtime Calculation of Constants）等。

2023年5月最新的更新使得Mystic Stealer更具威脅性，它加入一個載入程式套件，使其能夠從命令與控制（C2）伺服器檢索並執行下一階段的載荷。Mystic Stealer和許多其他出售的惡意軟體解決方案一樣，專注於竊取數據資料。其使用C程式語言實現，控制面板則使用Python開發，目前已經發現多達50個運作中的C2伺服器，而控制面板為駭客買家提供訪問數據日誌和其他設定界面。

這些分析其特性發現，Mystic Stealer是一種熱門的惡意軟體，被廣泛應用於地下經濟中。它通常被用作攻擊的開道，幫助駭客收集憑證，以實現對目標系統的初始訪問。這種惡意軟體常被其他駭客作攻擊基礎，用於進行以獲取財務利益為目的的攻擊活動，其中包括使用勒索軟體和數據勒索的手段。儘管這些惡意軟體受到歡迎度提高，它不僅以相對低廉的價格銷售，以吸引更多人使用，而且還不斷演進，採用先進的技術來避免被檢測。

竊取相關惡意軟體不斷演變，通過最近幾個月出現的新變種來看，例如Album Stealer、Bandit Stealer、Devopt、Fractureiser和Rhadamanthys。為了逃避檢測，竊取惡意軟體和遠端存取特洛伊木馬常被打包在加密程式中，如AceCryptor、ScrubCrypt（又名BatCloak）和Snip3。HP Wolf Security描述一個名為Shampoo的ChromeLoader惡意攻擊活動，它在Google Chrome中安裝惡意擴充功能，用於竊取敏感數據、重新導向搜尋和注入廣告，另外還發現了一個名為Pikabot的新模組化惡意軟體，具有執行任意命令和注入載荷的能力，例如Cobalt Strike。由這些例子展現竊取惡意軟體的不斷變化和演進。

新模組化惡意軟體的出現展示了網路犯罪的不斷演進和創新，這些惡意軟體通過模組化結構和先進技術實現靈活且定制化的攻擊手段。另外，加密程式和ChromeLoader等工具的使用增加它們的潛在威脅，針對新威脅的防範措施需要綜合考慮更新防毒軟體、加強安全知識的培訓以及實施網路監控和訪問控制等措施，以確保有效的保護和預防。

資料來源：The Hacker News

瀏覽 614 次