Phần mềm đánh cắp thông tin mới
Các chức năng chính của phần mềm độc hại Mystic bao gồm khả năng trích xuất dữ liệu từ trình duyệt web và ví tiền điện tử. Giống như nhiều phần mềm tương tự, nó có thể thu thập dữ liệu tự động điền lịch sử duyệt web, tệp tùy ý, cookie và thông tin liên quan đến ví tiền điện tử. Mystic cũng có thể đánh cắp thông tin đăng nhập trên Telegram và Steam. Đặc biệt, phần mềm độc hại này sử dụng các cơ chế mở rộng để chống lại sự phân tích và điều tra.
Trong một báo cáo kỹ thuật được đưa ra mới đây, các nhà nghiên cứu tại công ty bảo mật InQuest và Zscaler cho biết: “Mã bị xáo trộn nặng nề khi sử dụng kỹ thuật xáo trộn chuỗi đa hình, độ phân giải nhập dựa trên hàm băm và tính toán thời gian chạy của các hằng số. Bên cạnh đó, phần mềm độc hại này triển khai giao thức nhị phân tùy chỉnh được mã hóa bằng RC4”.
Mystic giống như nhiều phần mềm thu thập thông tin khác được rao bán, tập trung vào việc đánh cắp dữ liệu được triển khai bằng ngôn ngữ lập trình C dành cho client và Python đối với bảng điều khiển. Phần mềm độc hại này ra mắt phiên bản 1.0 vào cuối tháng 4/2023, thế nhưng nhanh chóng đã nâng cấp lên phiên bản 1.2 vào cuối tháng 5/2023.
Dòng thời gian phát triển của Mystic
Tác giả của Mystic đã quảng cáo phần mềm độc hại trên nhiều diễn đàn tin tặc khác nhau, ví dụ như WWH-Club, BHF và XSS và rao bán cho những cá nhân hay tổ chức nào quan tâm thuê nó với giá đăng ký là 150 USD/tháng hoặc 390 USD/quý.
Mystic được quảng bá trên diễn dần tin tặc
Ngoài ra, Mystic cũng được vận hành trên Telegram (Mystic Stealer News), nơi thảo luận về tin tức phát triển, yêu cầu tính năng và các chủ đề liên quan khác, cho thấy những nỗ lực tích cực nhằm thu hút cộng đồng tội phạm mạng. Các nhà nghiên cứu công ty an ninh mạng Cyfirma cho biết: “Rõ ràng là nhà phát triển Mystic đang tìm cách tạo ra một trình đánh cắp mới tập trung vào khả năng chống phân tích và trốn tránh phòng thủ”.
Chi tiết kỹ thuật
Đáng chú ý, Mystic không yêu cầu tích hợp thư viện của bên thứ ba để giải mã thông tin xác thực mục tiêu. Một số phần mềm đánh cắp phổ biến thông thường sẽ tải xuống các tệp DLL sau khi cài đặt để triển khai chức năng trích xuất thông tin xác thực từ các tệp trên hệ thống cục bộ. Tuy nhiên, với Mystic nó sẽ thu thập và lọc thông tin từ một hệ thống bị nhiễm, sau đó gửi dữ liệu đến máy chủ chỉ huy và kiểm soát (C2) xử lý phân tích cú pháp. Đây là một cách tiếp cận khác với nhiều phần mềm độc hại và có khả năng là một thiết kế thay thế để giữ cho kích thước tệp nhị phân của phần mềm này nhỏ hơn, do đó cũng cản trở hơn đối với quá trình phân tích tệp.
Mystic có thể nhắm mục tiêu đến tất cả các phiên bản Windows, từ Windows XP đến Windows 11, hỗ trợ kiến trúc hệ điều hành 32 và 64-bit. Phần mềm độc hại này không cần bất kỳ phần phụ thuộc nào, do đó dấu vết của nó trên các hệ thống bị nhiễm là rất ít, trong khi nó hoạt động trong bộ nhớ để tránh bị các phần mềm chống vi-rút phát hiện. Hơn nữa, Mystic thực hiện một số kiểm tra chống ảo hóa, như kiểm tra chi tiết CPUID để đảm bảo nó không được thực thi trong môi trường Sandbox.
Tác giả của Mystic đã thêm một loại trừ cho các quốc gia thuộc Cộng đồng các quốc gia độc lập (CIS), điều này có thể chỉ ra nguồn gốc của phần mềm độc hại mới. Bắt đầu từ ngày 20/5/2023, trong bản cập nhật mới nhất, Mystic kết hợp một thành phần trình tải (loader) cho phép mã độc truy xuất và thực thi các payload trong giai đoạn tiếp theo được tải từ máy chủ C2, điều này cho thấy nó có thể trở thành một mối đe dọa nguy hiểm.
Tất cả giao tiếp với C2 được mã hóa bằng giao thức nhị phân tùy chỉnh qua giao thức TCP, trong khi tất cả dữ liệu bị đánh cắp được gửi trực tiếp đến máy chủ mà không cần lưu trữ trước trên đĩa. Đây là một cách tiếp cận bất thường đối với phần mềm độc hại đánh cắp thông tin nhưng lại giúp Mystic tránh bị phát hiện.
Cho đến nay, đã có tới 50 máy chủ C2 đang hoạt động đã được xác định. Mystic có thể được chỉ định tối đa bốn điểm cuối C2. Điều này thường được sử dụng để cung cấp khả năng phục hồi trong trường hợp một số máy chủ ngoại tuyến hoặc nằm trong danh sách chặn. Trong các tệp nhị phân Mystic Stealer, có hai mảng bao gồm 4 DWORD, mỗi mảng được mã hóa bằng thuật toán dựa trên XTEA đã sửa đổi. Như vậy, mỗi mẫu có thể cấu hình tối đa 4 địa chỉ IP và cổng tương ứng.
Bảng điều khiển Mystic cho phép các tin tặc cấu hình cài đặt và truy cập dữ liệu được thu thập từ phần mềm độc hại đã triển khai và thường đóng vai trò là giao diện để chúng tương tác với phần mềm. Các chức năng phổ biến bao gồm thống kê, trình tạo phần mềm độc hại, kiểm soát các tùy chọn, nhật ký xác thực và quyền truy cập dữ liệu, cấu hình tích hợp,... Bảng điều khiển Mystic hoạt động ngoài băng tần trên một cổng dịch vụ riêng biệt mà phần mềm độc hại sử dụng cho giao tiếp C2.
Bảng điều khiển của Mystic
Trong lần thực thi đầu tiên, Mystic thu thập thông tin về hệ điều hành và phần cứng, đồng thời chụp ảnh màn hình, gửi dữ liệu đến máy chủ C2 của kẻ tấn công. Tùy thuộc vào hướng dẫn mà nó nhận được, phần mềm độc hại sẽ nhắm mục tiêu dữ liệu cụ thể hơn được lưu trữ trong trình duyệt web, ứng dụng,… Báo cáo của Zscaler và Inquest cung cấp danh sách đầy đủ các ứng dụng được nhắm mục tiêu, bao gồm các trình duyệt web phổ biến, trình quản lý mật khẩu và ứng dụng ví tiền điện tử, trong đó bao gồm: Google Chrome; Mozilla Firefox; Opera; Microsoft Edge, Binance; Bitcoin; Electrum; Authy 2FA; LastPass;…
Mặc dù tương lai của Mystic vẫn đang được thảo luận, nhưng xét đến tính chất dễ thay đổi của các dự án MaaS bất hợp pháp, sự xuất hiện của phần mềm độc hại này báo hiệu những rủi ro gia tăng cho người dùng và tổ chức. Việc bổ sung một trình tải gần đây có thể giúp các nhà khai thác Mystic loại bỏ các payload như mã độc tống tiền vào các máy tính bị xâm nhập, vì vậy cần hết sức thận trọng khi tải xuống các phần mềm hay ứng dụng từ Internet.
Hồng Đạt
09:00 | 13/07/2023
13:00 | 04/08/2023
12:00 | 28/04/2023
10:00 | 02/06/2023
10:00 | 15/09/2023
10:00 | 15/12/2022
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024