Ladrão místico roubando dados digitais por malware
(Foto: Shutterstock)

Um novo malware focado em roubar informações de usuários e serviços de criptomoedas está sendo promovido nos fóruns de hackers da darknet. Segundo o segundo o site BleepingComputer, a ameaça começou a se alastrar em abril deste ano e recebeu o nome de “Mystic Stealer” (Ladrão Místico, em português).

Os criadores do malware oferecem o aluguel do “Ladrão Místico” por US$ 150/mês. As informações do BleepingComputer afirmam que ele consegue atingir 40 navegadores da web, 70 extensões de navegador, 21 aplicativos de criptomoeda, 9 MFA e aplicativos de gerenciamento de senha, 55 extensões de navegador para criptomoedas, credenciais Steam e Telegram e muito mais.

Publicidade

Relatórios sobre o “Mystic Stealer” foram publicados quase simultaneamente por três firmas de segurança digital (InQuestZscaler e Cyfirma), que apontam para a urgência em criar-se mecanismos de defesa contra este software descrito como “muito sofisticado” e tem se espalhado rapidamente.

O malware age coletando informações do sistema operacional e do hardware e realiza capturas de tela, enviando os dados para o servidor C2 do invasor.

Detalhes técnicos do Mystic Stealer

O “Mystic Stealer” pode atingir todas as versões do Windows, incluindo XP a 11, suportando arquiteturas de sistema operacional de 32 e 64 bits.

O malware não precisa de nenhuma dependência; portanto, seu rastro nos sistemas infectados é mínimo, enquanto opera na memória para evitar a detecção de produtos antivírus.

Publicidade

Além disso, o Mystic realiza várias verificações anti-virtualização, como inspecionar os detalhes do CPUID para garantir que não seja executado em ambientes de sandbox.

O autor de Mystic adicionou uma exclusão para os países da Comunidade de Estados Independentes (CEI) (antiga União Soviética), o que pode indicar a origem do novo malware.

Os relatórios da Zscaler e InQuest dizem que outra restrição definida pelo criador é impedir que o malware execute compilações anteriores a uma data especificada, possivelmente para minimizar a exposição do malware aos pesquisadores de segurança.

A partir de 20 de maio de 2023, o autor do malware adicionou uma funcionalidade de carregador que permite ao Mystic buscar cargas adicionais do servidor C2.

Publicidade

Toda a comunicação com o C2 é criptografada usando um protocolo binário personalizado sobre TCP, enquanto todos os dados roubados são enviados diretamente para o servidor sem primeiro armazená-los no disco.

Essa é uma abordagem incomum para malwares que roubam informações, mas ajuda o “Ladrão Místico” a evitar a detecção.

O operador pode configurar até quatro terminais C2 para resiliência, que são criptografados usando um algoritmo baseado em XTEA modificado.

Alvos mais populares, segundo relatórios

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Opera
  • Vivaldi
  • Brave-Browser
  • Binance
  • Exodus
  • Bitcoin
  • Litecoin
  • Electrum
  • Authy 2FA
  • Gauth Authenticator
  • EOS Authenticator
  • LastPass: Free Password Manager
  • Trezor Password Manager
  • RoboForm Password Manager
  • Dashlane — Password Manager
  • NordPass Password Manager & Digital Vault
  • Browserpass
  • MYKI Password Manager & Authenticator
VOCÊ PODE GOSTAR
Imagem da matéria: Bitcoin sobe mais de 3% após dado de inflação dos EUA cair em abril

Bitcoin sobe mais de 3% após dado de inflação dos EUA cair em abril

Bitcoin, Ethereum e outras criptomoedas sobem nesta quarta-feira após o relatório do CPI dos EUA mostrar que os preços subiram mais lentamente que o esperado
Imagem da matéria: BNDES planeja lançar em agosto o piloto da Rede Blockchain Brasil

BNDES planeja lançar em agosto o piloto da Rede Blockchain Brasil

Blockchain deve chegar com casos de uso: diploma digital pela Rede Nacional de Ensino e Pesquisa e uma cadeia de custódia de provas
Imagem da matéria: Entendendo as tecnologias por trás da tokenização de ativos | Opinião

Entendendo as tecnologias por trás da tokenização de ativos | Opinião

Apesar de chamara cada vez mais atenção, muitas pessoas ainda não sabem o que é a tokenização de ativos e como ela funciona
Ministro Zhaslan Madiyev ex-gerente Binance Cazaquistão

Gerente da Binance é nomeado ministro de Desenvolvimento Digital no Cazaquistão

Depois de passagens por bancos e órgãos do governo cazaquistanês, Zhaslan Madiyev ocupa agora o maior cargo do Ministério de Desenvolvimento Digital, Inovações e Indústria Aeroespacial