Cảnh báo phần mềm độc hại Mystic Stealer mới đánh cắp thông tin trên các trình duyệt web và ví tiền điện tử
Phần mềm đánh cắp thông tin mới
Các chức năng chính của phần mềm độc hại Mystic bao gồm khả năng trích xuất dữ liệu từ trình duyệt web và ví tiền điện tử. Giống như nhiều phần mềm tương tự, nó có thể thu thập dữ liệu tự động điền lịch sử duyệt web, tệp tùy ý, cookie và thông tin liên quan đến ví tiền điện tử. Mystic cũng có thể đánh cắp thông tin đăng nhập trên Telegram và Steam. Đặc biệt, phần mềm độc hại này sử dụng các cơ chế mở rộng để chống lại sự phân tích và điều tra.
Trong một báo cáo kỹ thuật được đưa ra mới đây, các nhà nghiên cứu tại công ty bảo mật InQuest và Zscaler cho biết: “Mã bị xáo trộn nặng nề khi sử dụng kỹ thuật xáo trộn chuỗi đa hình, độ phân giải nhập dựa trên hàm băm và tính toán thời gian chạy của các hằng số. Bên cạnh đó, phần mềm độc hại này triển khai giao thức nhị phân tùy chỉnh được mã hóa bằng RC4”.
Mystic giống như nhiều phần mềm thu thập thông tin khác được rao bán, tập trung vào việc đánh cắp dữ liệu được triển khai bằng ngôn ngữ lập trình C dành cho client và Python đối với bảng điều khiển. Phần mềm độc hại này ra mắt phiên bản 1.0 vào cuối tháng 4/2023, thế nhưng nhanh chóng đã nâng cấp lên phiên bản 1.2 vào cuối tháng 5/2023.
Dòng thời gian phát triển của Mystic
Tác giả của Mystic đã quảng cáo phần mềm độc hại trên nhiều diễn đàn tin tặc khác nhau, ví dụ như WWH-Club, BHF và XSS và rao bán cho những cá nhân hay tổ chức nào quan tâm thuê nó với giá đăng ký là 150 USD/tháng hoặc 390 USD/quý.
Mystic được quảng bá trên diễn dần tin tặc
Ngoài ra, Mystic cũng được vận hành trên Telegram (Mystic Stealer News), nơi thảo luận về tin tức phát triển, yêu cầu tính năng và các chủ đề liên quan khác, cho thấy những nỗ lực tích cực nhằm thu hút cộng đồng tội phạm mạng. Các nhà nghiên cứu công ty an ninh mạng Cyfirma cho biết: “Rõ ràng là nhà phát triển Mystic đang tìm cách tạo ra một trình đánh cắp mới tập trung vào khả năng chống phân tích và trốn tránh phòng thủ”.
Chi tiết kỹ thuật
Đáng chú ý, Mystic không yêu cầu tích hợp thư viện của bên thứ ba để giải mã thông tin xác thực mục tiêu. Một số phần mềm đánh cắp phổ biến thông thường sẽ tải xuống các tệp DLL sau khi cài đặt để triển khai chức năng trích xuất thông tin xác thực từ các tệp trên hệ thống cục bộ. Tuy nhiên, với Mystic nó sẽ thu thập và lọc thông tin từ một hệ thống bị nhiễm, sau đó gửi dữ liệu đến máy chủ chỉ huy và kiểm soát (C2) xử lý phân tích cú pháp. Đây là một cách tiếp cận khác với nhiều phần mềm độc hại và có khả năng là một thiết kế thay thế để giữ cho kích thước tệp nhị phân của phần mềm này nhỏ hơn, do đó cũng cản trở hơn đối với quá trình phân tích tệp.
Mystic có thể nhắm mục tiêu đến tất cả các phiên bản Windows, từ Windows XP đến Windows 11, hỗ trợ kiến trúc hệ điều hành 32 và 64-bit. Phần mềm độc hại này không cần bất kỳ phần phụ thuộc nào, do đó dấu vết của nó trên các hệ thống bị nhiễm là rất ít, trong khi nó hoạt động trong bộ nhớ để tránh bị các phần mềm chống vi-rút phát hiện. Hơn nữa, Mystic thực hiện một số kiểm tra chống ảo hóa, như kiểm tra chi tiết CPUID để đảm bảo nó không được thực thi trong môi trường Sandbox.
Tác giả của Mystic đã thêm một loại trừ cho các quốc gia thuộc Cộng đồng các quốc gia độc lập (CIS), điều này có thể chỉ ra nguồn gốc của phần mềm độc hại mới. Bắt đầu từ ngày 20/5/2023, trong bản cập nhật mới nhất, Mystic kết hợp một thành phần trình tải (loader) cho phép mã độc truy xuất và thực thi các payload trong giai đoạn tiếp theo được tải từ máy chủ C2, điều này cho thấy nó có thể trở thành một mối đe dọa nguy hiểm.
Tất cả giao tiếp với C2 được mã hóa bằng giao thức nhị phân tùy chỉnh qua giao thức TCP, trong khi tất cả dữ liệu bị đánh cắp được gửi trực tiếp đến máy chủ mà không cần lưu trữ trước trên đĩa. Đây là một cách tiếp cận bất thường đối với phần mềm độc hại đánh cắp thông tin nhưng lại giúp Mystic tránh bị phát hiện.
Cho đến nay, đã có tới 50 máy chủ C2 đang hoạt động đã được xác định. Mystic có thể được chỉ định tối đa bốn điểm cuối C2. Điều này thường được sử dụng để cung cấp khả năng phục hồi trong trường hợp một số máy chủ ngoại tuyến hoặc nằm trong danh sách chặn. Trong các tệp nhị phân Mystic Stealer, có hai mảng bao gồm 4 DWORD, mỗi mảng được mã hóa bằng thuật toán dựa trên XTEA đã sửa đổi. Như vậy, mỗi mẫu có thể cấu hình tối đa 4 địa chỉ IP và cổng tương ứng.
Bảng điều khiển Mystic cho phép các tin tặc cấu hình cài đặt và truy cập dữ liệu được thu thập từ phần mềm độc hại đã triển khai và thường đóng vai trò là giao diện để chúng tương tác với phần mềm. Các chức năng phổ biến bao gồm thống kê, trình tạo phần mềm độc hại, kiểm soát các tùy chọn, nhật ký xác thực và quyền truy cập dữ liệu, cấu hình tích hợp,... Bảng điều khiển Mystic hoạt động ngoài băng tần trên một cổng dịch vụ riêng biệt mà phần mềm độc hại sử dụng cho giao tiếp C2.
Bảng điều khiển của Mystic
Trong lần thực thi đầu tiên, Mystic thu thập thông tin về hệ điều hành và phần cứng, đồng thời chụp ảnh màn hình, gửi dữ liệu đến máy chủ C2 của kẻ tấn công. Tùy thuộc vào hướng dẫn mà nó nhận được, phần mềm độc hại sẽ nhắm mục tiêu dữ liệu cụ thể hơn được lưu trữ trong trình duyệt web, ứng dụng,… Báo cáo của Zscaler và Inquest cung cấp danh sách đầy đủ các ứng dụng được nhắm mục tiêu, bao gồm các trình duyệt web phổ biến, trình quản lý mật khẩu và ứng dụng ví tiền điện tử, trong đó bao gồm: Google Chrome; Mozilla Firefox; Opera; Microsoft Edge, Binance; Bitcoin; Electrum; Authy 2FA; LastPass;…
Mặc dù tương lai của Mystic vẫn đang được thảo luận, nhưng xét đến tính chất dễ thay đổi của các dự án MaaS bất hợp pháp, sự xuất hiện của phần mềm độc hại này báo hiệu những rủi ro gia tăng cho người dùng và tổ chức. Việc bổ sung một trình tải gần đây có thể giúp các nhà khai thác Mystic loại bỏ các payload như mã độc tống tiền vào các máy tính bị xâm nhập, vì vậy cần hết sức thận trọng khi tải xuống các phần mềm hay ứng dụng từ Internet.
Hồng Đạt