Annoncé pour la première fois le 25 avril 2023, pour 150 dollars par mois, le logiciel malveillant cible également les portefeuilles de crypto-monnaies, Steam et Telegram, et utilise des mécanismes étendus pour résister à l’analyse.
« Le code est fortement obscurci en utilisant l’obscurcissement de chaînes polymorphes, la résolution d’importation basée sur le hachage et le calcul de constantes au moment de l’exécution », ont déclaré les chercheurs d’InQuest et de Zscaler dans une analyse publiée la semaine dernière.
Mystic Stealer, comme beaucoup d’autres solutions de crimeware proposées à la vente, se concentre sur le vol de données et est implémenté dans le langage de programmation C. Le panneau de contrôle a été développé en Python.
Les mises à jour du logiciel malveillant en mai 2023 intègrent un composant de chargement qui lui permet de récupérer et d’exécuter des charges utiles de niveau suivant provenant d’un serveur de commande et de contrôle (C2), ce qui en fait une menace plus redoutable.
Les communications C2 sont réalisées à l’aide d’un protocole binaire personnalisé sur TCP. Jusqu’à 50 serveurs C2 opérationnels ont été identifiés à ce jour. Le panneau de contrôle, quant à lui, sert d’interface aux acheteurs du voleur pour accéder aux journaux de données et à d’autres configurations.
La société de cybersécurité Cyfirma, qui a publié une analyse simultanée de Mystic, a déclaré que « l’auteur du produit invite ouvertement à suggérer des améliorations supplémentaires pour le voleur » par l’intermédiaire d’un canal Telegram dédié, ce qui indique des efforts actifs pour courtiser la communauté cybercriminelle.
« Il semble évident que le développeur de Mystic Stealer cherche à produire un voleur à la hauteur des tendances actuelles dans le domaine des logiciels malveillants, tout en essayant de se concentrer sur l’anti-analyse et l’évasion de la défense », ont déclaré les chercheurs.
Ces conclusions interviennent alors que les voleurs d’informations sont devenus une denrée très prisée dans l’économie souterraine, servant souvent de précurseur en facilitant la collecte d’informations d’identification pour permettre l’accès initial à des environnements cibles.
En d’autres termes, les voleurs servent de base à d’autres cybercriminels pour lancer des campagnes financièrement motivées qui utilisent des ransomwares et des éléments d’extorsion de données.
Malgré ce regain de popularité, les logiciels malveillants de type « stealer » sont non seulement commercialisés à des prix abordables pour attirer un public plus large, mais ils évoluent également pour devenir plus meurtriers, en intégrant des techniques avancées pour passer inaperçus.
L’évolution constante et la nature volatile de l’univers des stealers sont parfaitement illustrées par l’introduction régulière de nouvelles souches telles que Album Stealer, Aurora Stealer, Bandit Stealer, Devopt, Fractureiser et Rhadamanthys au cours des derniers mois.
Autre signe des tentatives des acteurs de la menace pour échapper à la détection, des voleurs d’informations et des chevaux de Troie d’accès à distance ont été observés dans des cryptomonnaies comme AceCryptor, ScrubCrypt (alias BatCloak) et Snip3.
Ce développement intervient également alors que HP Wolf Security a détaillé une campagne ChromeLoader datant de mars 2023 et portant le nom de code Shampoo, qui est conçue pour installer une extension malveillante dans Google Chrome et voler des données sensibles, rediriger les recherches et injecter des publicités dans la session de navigation de la victime.
« Les utilisateurs ont rencontré le logiciel malveillant principalement en téléchargeant des contenus illégaux, tels que des films (Cocaine Bear.vbs), des jeux vidéo ou autres », a déclaré Jack Royer, chercheur en sécurité. « Ces sites web incitent les victimes à exécuter un VBScript malveillant sur leur PC, ce qui déclenche la chaîne d’infection.
Le VBScript lance ensuite un code PowerShell capable de fermer toutes les fenêtres Chrome existantes et d’ouvrir une nouvelle session avec l’extension pirate décompressée à l’aide de l’argument de ligne de commande « –load-extension ».
Elle fait également suite à la découverte d’un nouveau cheval de Troie modulaire baptisé Pikabot, capable d’exécuter des commandes arbitraires et d’injecter des charges utiles fournies par un serveur C2, tel que Cobalt Strike.
L’implant, actif depuis le début de l’année 2023, présente des similitudes avec QBot en ce qui concerne les méthodes de distribution, les campagnes et les comportements des logiciels malveillants, bien qu’il n’y ait pas de preuves concluantes reliant les deux familles.
« Pikabot est une nouvelle famille de logiciels malveillants qui met en œuvre un vaste ensemble de techniques anti-analyse et offre des capacités de porte dérobée communes pour charger du shellcode et exécuter des binaires arbitraires de deuxième niveau », a déclaré Zscaler.
Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.
