IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

روند فزاینده توسعه و رشد استفاده از بدافزار جدید و پیشرفته Mystic Stealer در حملات سایبری

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir new mystic stealer malware increasingly used in attacks 1
بدافزار سرقت اطلاعات جدیدی به نام Mystic Stealer از آوریل ٢٠٢٣ در انجمن‌های هک و بازار‌های دارک‌نت تبلیغ می‌شود و به‌سرعت در جامعه جرایم سایبری مورد‌ توجه قرار‌گرفته است.

این بدافزار که با قیمت ١۵٠ دلار در ماه اجاره داده شده است، ٤٠ مرورگر وب، ٧٠ اکستنشن مرورگر، ٢١ برنامه ارز دیجیتال، ٩ برنامه MFA و مدیریت رمز عبور و ۵۵ افزونه مرورگر ارز دیجیتال، اعتبار استیم و تلگرام و غیره را هدف قرار می‌دهد.

دو گزارش جداگانه درباره Mystic Stealer که همزمان توسط Zscaler و Cyfirma منتشر شده‌اند، درباره ظهور بدافزار جدید، پیچیدگی آن و آنچه افزایش فروش آن به نظر می‌رسد که کمپین‌های جدید زیادی را دوباره وارد عرصه فعالیت‌های مجرمانه می‌کند، هشدار داده‌اند.

ظهور Mystic Stealer
بدافزار Mystic Stealer نسخه 1.0 را در اواخر آوریل ٢٠٢٣ معرفی کرد اما به‌سرعت در اواخر ماه مه به نسخه 1.2 ارتقا یافت که نشان‌دهنده توسعه فعال این پروژه است.

takian.ir new mystic stealer malware increasingly used in attacks 2
‌فروشنده بدافزار جدید را در چندین انجمن هک از‌جمله WWH-Club، BHF و XSS تبلیغ کرد و آن را با قیمت اشتراک رقابتی ١۵٠ دلار در ماه یا ٣٩٠ دلار سه ماهه، به افراد علاقه‌مند اجاره داده است.

takian.ir new mystic stealer malware increasingly used in attacks 3
‌این پروژه همچنین دارای یک کانال تلگرامی (Mystic Stealer News) است که در آن اخبار توسعه بدافزار، درخواست‌های ویژگی خاص و سایر موضوعات مرتبط مورد‌بحث قرار می‌گیرد.

طبق گزارشات، خالق بدافزار جدید بازخورد اعضای انجمن هک زیرزمینی را می‌پذیرد و آشکارا از آنها دعوت می‌کند تا پیشنهاداتی را برای بهبود Mystic با وی به اشتراک بگذارند.

مجموعه Cyfirma گزارش می‌دهد که افراد باسابقه در این فضا، کارآیی بدافزار را تایید کرده و اذعان کرده‌اند که علی‌رغم وضعیت توسعه اولیه آن، این بدافزار یک دزد اطلاعات قوی است.

takian.ir new mystic stealer malware increasingly used in attacks 4
جزییات فنی
بدافزار Mystic Stealer می‌تواند تمام نسخه‌های ویندوز از‌جمله XP تا 11 را هدف قرار دهد که از معماری سیستم عامل ٣٢ و ٦٤ بیتی پشتیبانی می‌کند.

این بدافزار به هیچ‌گونه وابستگی نیاز ندارد، بنابراین ردپای آن بر روی سیستم‌های آلوده در حداقل حالت ممکن است؛ در‌حالی‌که از دیگر سو، در حافظه فعالیت می‌کند تا از شناسایی شون توسط محصولات آنتی‌ویروس جلوگیری کند.

علاوه بر این، Mystic چندین بررسی آنتی‌ویرچوالیزیشن انجام می‌دهد، مانند بازرسی جزئیات CPUID برای اطمینان از اینکه در محیط‌های sandbox اجرا نمی‌شود.

نویسنده Mystic استثنایی برای کشور‌های مشترک‌المنافع (CIS) (اتحاد جماهیر شوروی سابق) اضافه کرده است که می‌تواند نشان‌دهنده منشا این بدافزار جدید باشد.

مجموعه Zscaler نیز گزارش داده است که یکی دیگر از محدودیت‌های تعیین شده توسط سازنده، جلوگیری از اجرای بدافزار در نسخه‌های قدیمی‌تر از تاریخ مشخص شده است که احتمالا برای به حداقل رساندن قرار گرفتن بدافزار در معرض تحقیقات امنیتی است.

از ٢٠ می‌٢٠٢٣، نویسنده بدافزار یک عملکرد لودر اضافه کرد که به Mystic اجازه می‌داد تا payload‌های اضافی را از سرور C2 دریافت کند.

تمام ارتباطات با C2 با استفاده از یک پروتکل باینری سفارشی روی TCP رمزگذاری می‌شود، در‌حالی‌که تمام داده‌های دزدیده شده مستقیما به سرور، بدون اینکه ابتدا روی دیسک ذخیره شوند، ارسال می‌شوند.

این یک رویکرد غیرمعمول برای بدافزار دزد اطلاعات است، اما به Mystic کمک می‌کند تا از شناسایی فرار کند.

اپراتور می‌تواند حداکثر چهار اندپوینت C2 را برای انعطاف‌پذیری پیکربندی کند، که با استفاده از یک الگوریتم اصلاح شده مبتنی بر XTEA رمزگذاری شده‌اند.

takian.ir new mystic stealer malware increasingly used in attacks 5
قابلیت‌های سرقت اطلاعات
پس از اولین اجرا، Mystic اطلاعات سیستم عامل و سخت‌افزار را جمع‌آوری می‌کند و یک اسکرین شات می‌گیرد و داده‌ها را به سرور C2 مهاجم ارسال می‌کند.

بسته به‌دستورالعمل‌هایی که دریافت می‌کند، بدافزار داده‌های خاص‌تری را که در مرورگر‌های وب، برنامه‌ها و غیره ذخیره شده است را هدف قرار می‌دهد.

گزارش Zscaler فهرست کاملی از برنامه‌های هدف را ارائه می‌دهد که شامل مرورگر‌های وب محبوب، برنامه‌های مدیریت رمز عبور و برنامه‌های کیف پول ارز‌های دیجیتال (رمزارز) است.

موارد قابل توجه در لیست عبارتند از:

گوگل کروم
موزیلا فایرفاکس
مایکروسافت اج
اپرا
ویوالدی
مرورگر Brave
بایننس
Exodus
بیت‌کوین
لایت ‌کوین
الکتروم
Authy 2FA
Gauth Authenticator
EOS Authenticator
LastPass: مدیریت رمز عبور رایگان
مدیر رمز عبور Trezor
RoboForm Password Manager
Dashlane - مدیریت رمز عبور
NordPass Password Manager & Digital Vault
Browserpass
MYKI Password Manager & Authenticator

اگرچه آینده  Mystic Stealer هنوز مورد‌بحث است، با توجه به ماهیت فرار پروژه‌های غیرقانونی MaaS، ظهور آن نشان‌دهنده سطح خطر بالا برای کاربران و سازمان‌ها است.

اضافه شدن تازه لودر می‌تواند به اپراتور‌های Mystic کمک کند تا payload‌هایی مانند باج‌افزار را روی رایانه‌های آسیب‌دیده مستقر کنند، بنابراین هنگام دانلود نرم‌افزار از فضای اینترنت، احتیاط شدید برای کاربران در سازمان‌ها و ادارات توصیه می‌شود.

برچسب ها: ویوالدی, MYKI Password Manager & Authenticator, Browserpass, NordPass Password Manager & Digital Vault, Trezor, EOS Authenticator, Authy 2FA, Gauth Authenticator, CPUID, Mystic, WWH-Club, Mystic Stealer, اکستنشن, LastPass, XTEA, Extention, Dashlane, Vivaldi, کشور‌های مشترک‌المنافع, اپرا, موزیلا فایرفاکس, MaaS, malware-as-a-service, Exodus, Sandbox, باج‌افزار, TCP, Brave, Payload, مدیریت رمز عبور, بایننس, Binance, Opera, گوگل کروم, رمزارز, Firefox, بیت‌کوین , Google Chrome, malware, ransomware , تهدیدات سایبری, Cyber Security, مایکروسافت اج, Microsoft Edge, ارز دیجیتال, Cryptocurrencies, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, Bitcoin, حمله سایبری, news

چاپ ایمیل