Myth Stealer Malware

网络安全研究人员发现了一种此前未记录的信息窃取恶意软件，该恶意软件以 Rust 语言编写，名为 Myth Stealer。该恶意软件正在通过欺诈性游戏网站传播。一旦运行，它会显示一个虚假的安装窗口，使其看起来像是合法的，但实际上却在后台秘密解密并启动恶意负载。

从免费软件到成熟的恶意软件即服务

Myth Stealer 最初于 2024 年 12 月下旬在 Telegram 上免费推出其测试版，此后逐渐演变为恶意软件即服务 (MaaS)。它旨在从基于 Chromium 和 Gecko 的浏览器（包括 Google Chrome、Microsoft Edge、Brave、Opera、Vivaldi 和 Mozilla Firefox）收集敏感信息，例如密码、Cookie 和自动填充数据。

Telegram 策略和市场活动

Myth Stealer 的幕后操纵者维护着多个 Telegram 频道，用于宣传被盗账户并分享用户评价。这些频道现已被 Telegram 封禁，从而扰乱了该恶意软件的主要营销和支持渠道之一。

虚假游戏网站助长传播

研究人员已将 Myth Stealer 的传播与一些欺骗性游戏网站联系起来，其中包括一个托管在 Google Blogger 平台上的网站。这些网站伪装成电子游戏的测试平台，以引诱毫无戒心的用户。有趣的是，一个几乎相同的 Blogger 页面此前曾被用来传播另一个名为 AgeoStealer 的窃取程序。

Myth Stealer 与 AgeoStealer：类似的策略，不同的代码

尽管 Myth Stealer 和 AgeoStealer 在传播方式上存在相似之处，但两者之间并未发现任何技术联系。AgeoStealer 采用 JavaScript 开发，并打包为 Electron 应用，而 Myth Stealer 则明显使用了 Rust 编程语言构建。

破解软件和论坛诱饵

Myth Stealer 还被发现在网络论坛上伪装成游戏作弊软件 DDrace 的破解版。这表明该恶意软件的传播策略更加广泛且更加多样化，旨在诱骗毫无戒心的游戏玩家和作弊者。

手法：欺骗性执行过程

无论恶意软件如何传播，其加载程序都会呈现一个虚假的安装窗口，以维持其合法性的假象。在后台，它会解密并运行窃取组件，在用户不知情的情况下启动数据窃取过程。

隐秘窃取：技术能力

Myth Stealer 在其 64 位 DLL 有效载荷中尝试在提取数据之前终止活动的浏览器进程。它将窃取的信息泄露到远程服务器，或者在某些情况下泄露到 Discord webhook。

逃避检测：不断演变的策略

Myth Stealer 采用了多种反分析技术，例如字符串混淆以及基于文件名和用户名的系统检查。开发人员频繁更新该恶意软件以规避杀毒软件的检测，并添加了屏幕截图和剪贴板劫持等功能来扩展其功能。

结论：恶意软件威胁日益加剧

Myth Stealer 是一种复杂且不断演变的威胁，它利用现代恶意软件开发实践、多渠道传播策略和规避技术。它的出现凸显了从不可信来源下载软件的风险日益增加，尤其是在游戏社区中。