Ladrão místico roubando dados digitais por malware
(Foto: Shutterstock)

Um novo malware focado em roubar informações de usuários e serviços de criptomoedas está sendo promovido nos fóruns de hackers da darknet. Segundo o segundo o site BleepingComputer, a ameaça começou a se alastrar em abril deste ano e recebeu o nome de “Mystic Stealer” (Ladrão Místico, em português).

Os criadores do malware oferecem o aluguel do “Ladrão Místico” por US$ 150/mês. As informações do BleepingComputer afirmam que ele consegue atingir 40 navegadores da web, 70 extensões de navegador, 21 aplicativos de criptomoeda, 9 MFA e aplicativos de gerenciamento de senha, 55 extensões de navegador para criptomoedas, credenciais Steam e Telegram e muito mais.

Publicidade

Relatórios sobre o “Mystic Stealer” foram publicados quase simultaneamente por três firmas de segurança digital (InQuestZscaler e Cyfirma), que apontam para a urgência em criar-se mecanismos de defesa contra este software descrito como “muito sofisticado” e tem se espalhado rapidamente.

O malware age coletando informações do sistema operacional e do hardware e realiza capturas de tela, enviando os dados para o servidor C2 do invasor.

Detalhes técnicos do Mystic Stealer

O “Mystic Stealer” pode atingir todas as versões do Windows, incluindo XP a 11, suportando arquiteturas de sistema operacional de 32 e 64 bits.

O malware não precisa de nenhuma dependência; portanto, seu rastro nos sistemas infectados é mínimo, enquanto opera na memória para evitar a detecção de produtos antivírus.

Publicidade

Além disso, o Mystic realiza várias verificações anti-virtualização, como inspecionar os detalhes do CPUID para garantir que não seja executado em ambientes de sandbox.

O autor de Mystic adicionou uma exclusão para os países da Comunidade de Estados Independentes (CEI) (antiga União Soviética), o que pode indicar a origem do novo malware.

Os relatórios da Zscaler e InQuest dizem que outra restrição definida pelo criador é impedir que o malware execute compilações anteriores a uma data especificada, possivelmente para minimizar a exposição do malware aos pesquisadores de segurança.

A partir de 20 de maio de 2023, o autor do malware adicionou uma funcionalidade de carregador que permite ao Mystic buscar cargas adicionais do servidor C2.

Publicidade

Toda a comunicação com o C2 é criptografada usando um protocolo binário personalizado sobre TCP, enquanto todos os dados roubados são enviados diretamente para o servidor sem primeiro armazená-los no disco.

Essa é uma abordagem incomum para malwares que roubam informações, mas ajuda o “Ladrão Místico” a evitar a detecção.

O operador pode configurar até quatro terminais C2 para resiliência, que são criptografados usando um algoritmo baseado em XTEA modificado.

Alvos mais populares, segundo relatórios

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Opera
  • Vivaldi
  • Brave-Browser
  • Binance
  • Exodus
  • Bitcoin
  • Litecoin
  • Electrum
  • Authy 2FA
  • Gauth Authenticator
  • EOS Authenticator
  • LastPass: Free Password Manager
  • Trezor Password Manager
  • RoboForm Password Manager
  • Dashlane — Password Manager
  • NordPass Password Manager & Digital Vault
  • Browserpass
  • MYKI Password Manager & Authenticator
VOCÊ PODE GOSTAR
Imagem da matéria: Memecoin de Trump cai 20% após Melania lança sua própria criptomoeda

Memecoin de Trump cai 20% após Melania lança sua própria criptomoeda

Chamado de MELANIA, o token da nova primeira-dama dos EUA disparou mais de 40% nas últimas 24 horas
Imagem da matéria: Rumble, concorrente do YouTube, anuncia primeira compra de Bitcoin

Rumble, concorrente do YouTube, anuncia primeira compra de Bitcoin

Menos de dois meses após revelar uma estratégia para incluir a criptomoeda em seu balanço patrimonial, a plataforma de vídeos Rumble anunciou sua primeira aquisição de Bitcoin
Imagem da matéria: ICO da Remittix explode com Bônus de 30% para a posse de Trump: Especialistas dizem que ela pode superar a Dogecoin em 2025

ICO da Remittix explode com Bônus de 30% para a posse de Trump: Especialistas dizem que ela pode superar a Dogecoin em 2025

O momento é tudo em cripto e o bônus de posse de 30% de Trump fornece uma janela única para aqueles que veem potencial na Remittix
Imagem da matéria: Cynthia Lummis acusa FDIC de má conduta na supervisão de criptomoedas e exige prestação de contas

Cynthia Lummis acusa FDIC de má conduta na supervisão de criptomoedas e exige prestação de contas

Senadora citou alegações de que FDIC destruiu documentos e silenciou equipe durante uma investigação de supervisão do setor de criptomoedas