Myth Stealer Malware
Дослідники з кібербезпеки виявили раніше недокументоване шкідливе програмне забезпечення для крадіжки інформації, написане на Rust, відоме як Myth Stealer. Це шкідливе програмне забезпечення поширюється через шахрайські ігрові веб-сайти. Після запуску воно відображає фальшиве вікно встановлення, яке виглядає як легітимне, водночас таємно розшифровуючи та запускаючи своє шкідливе корисне навантаження у фоновому режимі.
Зміст
Від безкоштовного програмного забезпечення до повноцінного шкідливого програмного забезпечення як послуги
Спочатку Myth Stealer був представлений безкоштовно у своїй бета-версії на Telegram наприкінці грудня 2024 року, але з того часу перетворився на шкідливе програмне забезпечення як послугу (MaaS). Воно призначене для збору конфіденційної інформації, такої як паролі, файли cookie та дані автозаповнення, з браузерів на базі Chromium та Gecko, включаючи Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi та Mozilla Firefox.
Тактики Telegram та активність на торговельному майданчику
Оператори Myth Stealer підтримували кілька Telegram-каналів, які використовувалися для реклами викрадених облікових записів та обміну відгуками користувачів. Відтоді Telegram заблокував ці канали, що порушило один з основних шляхів маркетингу та підтримки шкідливого програмного забезпечення.
Фейкові ігрові сайти підживлюють поширення
Дослідники пов’язали розповсюдження Myth Stealer з шахрайськими ігровими веб-сайтами, зокрема з одним, розміщеним на платформі Google Blogger. Ці сайти видають себе за тестові платформи для відеоігор, щоб заманити нічого не підозрюючих користувачів. Цікаво, що майже ідентична сторінка Blogger раніше використовувалася для розповсюдження іншого викрадача вірусу під назвою AgeoStealer.
Викрадач міфів проти Викрадача ейджів: схожа тактика, різний код
Незважаючи на схожість у методах їх доставки, між Myth Stealer та AgeoStealer не було знайдено жодного технічного зв'язку. Хоча AgeoStealer розроблено на JavaScript та упаковано як додаток Electron, Myth Stealer чітко побудовано з використанням мови програмування Rust.
Зламане програмне забезпечення та приманка на форумі
Також на онлайн-форумах помічали Myth Stealer, який маскувався під зламану версію DDrace, програмного забезпечення для шахрайства в іграх. Це вказує на ширшу та різноманітнішу стратегію розповсюдження, розроблену для того, щоб заманити нічого не підозрюючих гравців та шахраїв.
Спритність рук: процес обманливого виконання
Незалежно від способу доставки, завантажувач шкідливого програмного забезпечення відображає фальшиве вікно налаштувань, щоб зберегти ілюзію легітимності. За лаштунками він розшифровує та запускає компонент-викрадач, ініціюючи процес крадіжки даних без відома користувача.
Крадіжка в прихованому режимі: технічні можливості
У своєму 64-бітному DLL-коді, Myth Stealer намагається завершити активні процеси браузера перед вилученням даних. Він витягує викрадену інформацію на віддалений сервер або, в деяких випадках, на вебхук Discord.
Уникнення виявлення: тактика розвитку
Myth Stealer використовує методи антианалізу, такі як обфускація рядків та системні перевірки на основі імен файлів та імен користувачів. Розробники часто оновлюють шкідливе програмне забезпечення, щоб уникнути виявлення антивірусом, і додали такі функції, як захоплення екрана та захоплення буфера обміну, щоб розширити його можливості.
Висновок: Зростаюча загроза в ландшафті шкідливого програмного забезпечення
Викрадач міфів являє собою складну та постійно розвивається загрозу, яка використовує сучасні методи розробки шкідливого програмного забезпечення, багатоканальні стратегії розповсюдження та методи ухилення. Її поява підкреслює зростаючі ризики завантаження програмного забезпечення з ненадійних джерел, особливо в ігровій спільноті.
