I ricercatori di Cyfirma e Zscaler hanno individuato un nuovo malware che può rubare numerosi dati dai computer Windows. Mystic Stealer è uno dei più sofisticati in assoluto e difficili da rilevare, in quanto sfrutta diverse funzionalità “stealth”. Il suo debutto è recente, ma è già molto popolare tra i cybercriminali.
Mystic Stealer: pericoloso ladro di dati
La prima versione di Mystic Stealer è stata annunciata il 25 aprile. La più recente 1.2 è disponibile dal 10 maggio. L’autore offre il malware in abbonamento al costo di 150 dollari/mese o 390 dollari a trimestre. Il progetto viene pubblicizzato anche tramite un canale Telegram, attraverso il quale sono svelate le nuove funzionalità e ricevuti i feedback.
Mystic Stealer è compatibile con tutte le versioni del sistema operativo a partire da Windows XP. Il client che viene installato sul computer è scritto in linguaggio C, mentre il server è scritto in Python. Non lascia nessuna traccia su disco, in quanto viene eseguito in memoria. Dato che non utilizza librerie di terze parti e sfrutta tecniche di manipolazione del codice, l’info-stealer è quasi invisibile alle soluzioni di sicurezza.
Le versioni più recenti includono anche le funzionalità di auto-cancellazione e di loader (per scaricare altri malware). I dati raccolti vengono compressi, cifrati e inviati al server C&C (command and control), dal quale riceve il file di configurazione iniziale con le attività da eseguire sul dispositivo della vittima.
Mystic Stealer raccoglie informazioni sul computer (nome, numero di processori, architettura e altre), scatta screenshot dello schermo e ruba i dati (password, cookie, numeri delle carte di credito, segnalibri) da oltre 40 browser. Raccoglie inoltre le credenziali di oltre 70 estensioni per wallet di criptovalute. I cybercriminali gestiscono gli attacchi tramite un pannello di controllo remoto.