Oprogramowanie typu „myth stealer”
Badacze cyberbezpieczeństwa odkryli wcześniej nieudokumentowane złośliwe oprogramowanie kradnące informacje napisane w języku Rust, znane jako Myth Stealer. To złośliwe oprogramowanie jest rozprzestrzeniane za pośrednictwem fałszywych witryn z grami. Po uruchomieniu wyświetla fałszywe okno instalacji, aby wyglądało na legalne, podczas gdy w tle potajemnie odszyfrowuje i uruchamia swój złośliwy ładunek.
Spis treści
Od oprogramowania freeware do pełnoprawnego oprogramowania typu malware-as-a-service
Początkowo wprowadzony bezpłatnie w wersji beta na Telegramie pod koniec grudnia 2024 r., Myth Stealer od tego czasu ewoluował w Malware-as-a-Service (MaaS). Został zaprojektowany w celu zbierania poufnych informacji, takich jak hasła, pliki cookie i dane autouzupełniania z przeglądarek opartych na Chromium i Gecko, w tym Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi i Mozilla Firefox.
Taktyki Telegramu i Aktywność na Rynku
Operatorzy Myth Stealer utrzymywali wiele kanałów Telegram używanych do reklamowania skradzionych kont i udostępniania opinii użytkowników. Kanały te zostały od tego czasu zamknięte przez Telegram, zakłócając jedną z głównych dróg marketingu i wsparcia złośliwego oprogramowania.
Fałszywe strony z grami podsycają rozprzestrzenianie się
Badacze powiązali dystrybucję Myth Stealer z oszukańczymi witrynami gier, w tym jedną hostowaną na platformie Blogger firmy Google. Witryny te podszywają się pod platformy testowe gier wideo, aby zwabić niczego niepodejrzewających użytkowników. Co ciekawe, niemal identyczna strona Bloggera była wcześniej używana do dystrybucji innego stealera o nazwie AgeoStealer.
Myth Stealer kontra AgeoStealer: podobne taktyki, inny kod
Pomimo podobieństw w metodach dostarczania, nie znaleziono żadnego technicznego związku między Myth Stealer i AgeoStealer. Podczas gdy AgeoStealer jest rozwijany w JavaScript i pakowany jako aplikacja Electron, Myth Stealer jest wyraźnie zbudowany przy użyciu języka programowania Rust.
Złamane oprogramowanie i przynęta na forum
Myth Stealer został również zauważony jako podszywający się pod zhakowaną wersję DRace, oprogramowania do oszukiwania w grach, na forach internetowych. Wskazuje to na szerszą i zróżnicowaną strategię dystrybucji, mającą na celu złapanie niczego niepodejrzewających graczy i poszukiwaczy oszustw.
Sztuczka: oszukańczy proces egzekucji
Niezależnie od sposobu dostarczenia, program ładujący malware'a prezentuje fałszywe okno konfiguracji, aby utrzymać iluzję legalności. W tle odszyfrowuje i uruchamia komponent złodzieja, inicjując proces kradzieży danych bez wiedzy użytkownika.
Kradzież w ukryciu: możliwości techniczne
W swoim 64-bitowym DLL-owym ładunku Myth Stealer próbuje zakończyć aktywne procesy przeglądarki przed wyodrębnieniem danych. Wyprowadza skradzione informacje na zdalny serwer lub, w niektórych przypadkach, do webhooka Discord.
Unikanie wykrycia: ewoluujące taktyki
Myth Stealer zawiera techniki antyanalizy, takie jak zaciemnianie ciągów znaków i sprawdzanie systemu na podstawie nazw plików i nazw użytkowników. Twórcy często aktualizują złośliwe oprogramowanie, aby uniknąć wykrycia przez program antywirusowy, i dodali funkcje, takie jak przechwytywanie ekranu i przechwytywanie schowka, aby rozszerzyć jego możliwości.
Wnioski: Rosnące zagrożenie w środowisku złośliwego oprogramowania
Myth Stealer to wyrafinowane i rozwijające się zagrożenie, wykorzystujące nowoczesne praktyki tworzenia złośliwego oprogramowania, strategie dystrybucji wielokanałowej i techniki unikania. Jego pojawienie się podkreśla rosnące ryzyko pobierania oprogramowania z niepewnych źródeł, szczególnie w społeczności graczy.
