Myth Stealer-malware
Cybersecurityonderzoekers hebben een eerder niet-gedocumenteerde malware ontdekt die informatie steelt en geschreven is in Rust, bekend als Myth Stealer. Deze schadelijke software wordt verspreid via frauduleuze gamingwebsites. Na uitvoering toont de malware een vals installatievenster om legitiem te lijken, terwijl de schadelijke payload in het geheim op de achtergrond wordt gedecodeerd en gestart.
Inhoudsopgave
Van freeware tot volwaardige malware-as-a-service
Myth Stealer, dat eind december 2024 aanvankelijk gratis werd geïntroduceerd in de bètaversie op Telegram, heeft zich sindsdien ontwikkeld tot een Malware-as-a-Service (MaaS). Het is ontworpen om gevoelige informatie zoals wachtwoorden, cookies en autofill-gegevens te verzamelen uit Chromium- en Gecko-gebaseerde browsers, waaronder Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi en Mozilla Firefox.
Telegram-tactieken en marktplaatsactiviteit
De beheerders van Myth Stealer onderhielden meerdere Telegram-kanalen die gebruikt werden om gestolen accounts te adverteren en gebruikerservaringen te delen. Deze kanalen zijn inmiddels door Telegram offline gehaald, waardoor een van de belangrijkste marketing- en ondersteuningskanalen van de malware verstoord raakte.
Nep-gamesites bevorderen de verspreiding
Onderzoekers hebben de verspreiding van Myth Stealer in verband gebracht met misleidende gamingwebsites, waaronder een die gehost wordt op Google's Blogger-platform. Deze sites doen zich voor als testplatforms voor videogames om nietsvermoedende gebruikers te lokken. Interessant genoeg werd een vrijwel identieke Blogger-pagina eerder gebruikt om een andere stealer te verspreiden, genaamd AgeoStealer.
Myth Stealer vs. AgeoStealer: vergelijkbare tactieken, andere code
Ondanks de overeenkomsten in hun leveringsmethoden, is er geen technisch verband gevonden tussen Myth Stealer en AgeoStealer. Terwijl AgeoStealer is ontwikkeld in JavaScript en verpakt als een Electron-app, is Myth Stealer specifiek gebouwd met de programmeertaal Rust.
Gekraakte software en forumbait
Myth Stealer is ook gespot op online forums, vermomd als een gekraakte versie van DDrace, een softwareprogramma om vals te spelen. Dit wijst op een bredere en gevarieerde distributiestrategie die erop gericht is nietsvermoedende gamers en valsspelers te strikken.
Bedrieglijke goocheltruc: misleidend executieproces
Ongeacht hoe de malware wordt verspreid, presenteert de loader van de malware een vals installatievenster om de schijn van legitimiteit te behouden. Achter de schermen decodeert en draait de stealer-component, waarmee het proces van gegevensdiefstal wordt gestart zonder medeweten van de gebruiker.
Stealth stelen: technische mogelijkheden
Binnen zijn 64-bits DLL-payload probeert Myth Stealer actieve browserprocessen te beëindigen voordat de gegevens worden geëxtraheerd. Het exfiltreert gestolen informatie naar een externe server of, in sommige gevallen, naar een Discord-webhook.
Detectie ontwijken: evoluerende tactieken
Myth Stealer maakt gebruik van anti-analysetechnieken, zoals stringverduistering en systeemcontroles op basis van bestandsnamen en gebruikersnamen. De ontwikkelaars werken de malware regelmatig bij om antivirusdetectie te omzeilen en hebben functies zoals schermopname en klembordkaping toegevoegd om de mogelijkheden uit te breiden.
Conclusie: een groeiende dreiging in het malwarelandschap
Myth Stealer vertegenwoordigt een geavanceerde en evoluerende dreiging die gebruikmaakt van moderne methoden voor malwareontwikkeling, multichannel distributiestrategieën en ontwijkende technieken. De opkomst ervan onderstreept de toenemende risico's van het downloaden van software van onbetrouwbare bronnen, met name in de gamewereld.
