Myytin varastaja -haittaohjelma
Kyberturvallisuustutkijat ovat paljastaneet aiemmin dokumentoimattoman, Rust-kielellä kirjoitetun, tietoja varastavan haittaohjelman nimeltä Myth Stealer. Tätä haittaohjelmaa levitetään vilpillisten pelisivustojen kautta. Suoritettuaan se näyttää väärennetyn asennusikkunan näyttääkseen lailliselta, samalla kun se salaa purkaa salauksen ja käynnistää haitallisen hyötykuormansa taustalla.
Sisällysluettelo
Ilmaisohjelmista täysimittaisiksi haittaohjelmiksi palveluna
Myth Stealer julkaistiin alun perin ilmaiseksi beetaversiona Telegramissa joulukuun lopulla 2024, ja siitä on sittemmin kehittynyt Malware-as-a-Service (MaaS). Se on suunniteltu keräämään arkaluonteisia tietoja, kuten salasanoja, evästeitä ja automaattisen täytön tietoja Chromium- ja Gecko-pohjaisista selaimista, kuten Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi ja Mozilla Firefox.
Telegram-taktiikat ja markkinapaikkatoiminta
Myth Stealerin takana olevat operaattorit ylläpitivät useita Telegram-kanavia, joita käytettiin varastettujen tilien mainostamiseen ja käyttäjäpalautteiden jakamiseen. Telegram on sittemmin sulkenut nämä kanavat, mikä häiritsee yhtä haittaohjelman tärkeimmistä markkinointi- ja tukikanavista.
Väärennetyt pelisivustot ruokkivat leviämistä
Tutkijat ovat yhdistäneet Myth Stealerin leviämisen harhaanjohtaviin pelisivustoihin, mukaan lukien yksi Googlen Blogger-alustalla sijaitseva sivusto. Nämä sivustot esiintyvät videopelien testialustoina houkutellakseen tietämättömiä käyttäjiä. Mielenkiintoista kyllä, lähes identtistä Blogger-sivua on aiemmin käytetty toisen AgeoStealerin nimisen varastavan sivuston levittämiseen.
Myytin varastaja vs. AgeoStealer: Samankaltaiset taktiikat, eri koodi
Vaikka niiden toimitusmenetelmissä on samankaltaisuuksia, Myth Stealerin ja AgeoStealerin välillä ei ole löydetty teknistä yhteyttä. Vaikka AgeoStealer on kehitetty JavaScriptillä ja pakattu Electron-sovellukseksi, Myth Stealer on selvästi rakennettu Rust-ohjelmointikielellä.
Krakattu ohjelmisto ja foorumisyötit
Myth Stealerin on myös havaittu tekeytyvän hakatuksi versioksi DDRace-pelihuijausohjelmasta nettifoorumeilla. Tämä viittaa laajempaan ja monipuolisempaan levitysstrategiaan, jonka tarkoituksena on houkutella tietämättömiä pelaajia ja huijausyrityksiä.
Kädentaito: Petollinen toteutusprosessi
Toimitustavasta riippumatta haittaohjelman lataaja näyttää tekaistun asennusikkunan ylläpitääkseen illuusion laillisuudesta. Kulissien takana se purkaa salauksen ja suorittaa varastuskomponentin, käynnistäen tietojen varastamisen käyttäjän tietämättä.
Varastaminen hiiviskelyssä: Tekniset ominaisuudet
64-bittisen DLL-hyötykuormansa sisällä Myth Stealer yrittää lopettaa aktiiviset selainprosessit ennen tietojen poimimista. Se siirtää varastetut tiedot etäpalvelimelle tai joissakin tapauksissa Discord-webhookiin.
Havaitsemisen välttäminen: Kehittyvät taktiikat
Myth Stealer sisältää analysoinnin estotekniikoita, kuten merkkijonojen hämärtämistä ja tiedostonimiin ja käyttäjätunnuksiin perustuvia järjestelmätarkistuksia. Kehittäjät päivittävät haittaohjelmaa usein välttääkseen virustorjuntaohjelmien havaitsemisen ja ovat lisänneet ominaisuuksia, kuten näytönkaappauksen ja leikepöydän kaappauksen, laajentaakseen sen ominaisuuksia.
Johtopäätös: Kasvava uhka haittaohjelmien maailmassa
Myth Stealer edustaa hienostunutta ja kehittyvää uhkaa, joka hyödyntää nykyaikaisia haittaohjelmien kehityskäytäntöjä, monikanavaisia jakelustrategioita ja välttelystekniikoita. Sen ilmaantuminen korostaa ohjelmistojen lataamisen kasvavia riskejä epäluotettavista lähteistä, erityisesti peliyhteisössä.
