ИБ-специалисты обнаружили новую малварь для кражи информации, Mystic Stealer, которая способна воровать данные примерно из 40 различных браузеров и 70 расширений для них.
Mystic Stealer - это новый похититель информации, который был впервые разрекламирован в апреле 2023 года
- Mystic крадет учетные данные из почти 40 веб-браузеров и более чем 70 расширений для браузеров.
- Вредоносная программа также нацелена на криптовалютные кошельки, Steam и Telegram.
- Код сильно обфусцирован с использованием полиморфной обфускации строк, разрешения импорта на основе хэша и вычисления констант во время выполнения.
- Mystic реализует собственный бинарный протокол, зашифрованный с помощью RC4.
Signatures
1 | alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"LOCAL Mystic Stealer C2 Client Hello Packet"; flow:established,to_server; flowbits:set, mystic_stealer_conn_init; flowbits:noalert; dsize:4; content:"|b5 19 6f 94|"; fast_pattern; reference:md5,df80b1e50cfebb0c4dbf5ac51c5d7254; classtype:trojan-activity; sid:9999990; rev:1; metadata:created_at 2023_06_02, malware_family Mystic Stealer, signature_severity Major, updated_at 2023_06_02;) |
1 | alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"LOCAL Mystic Stealer C2 Session Key Response Packet"; flow:established,to_client; flowbits:isset, mystic_stealer_conn_init; dsize:256; reference:md5,df80b1e50cfebb0c4dbf5ac51c5d7254; classtype:trojan-activity; sid:9999991; rev:1; metadata:created_at 2023_06_02, malware_family Mystic Stealer, signature_severity Major, updated_at 2023_06_02;) |
Indicators of Compromise
IPv4
- 104.21.27.68
- 104.21.38.108
- 104.21.52.152
- 104.21.60.13
- 104.21.63.115
- 104.21.72.247
- 104.21.74.252
- 104.21.76.230
- 104.21.87.169
- 104.21.88.238
- 116.202.233.49
- 142.132.201.228
- 167.235.34.144
- 172.67.144.196
- 172.67.145.114
- 172.67.154.57
- 172.67.155.235
- 172.67.169.8
- 172.67.184.175
- 172.67.201.239
- 172.67.209.76
- 188.40.116.251
- 194.169.175.123
- 194.50.153.21
- 213.142.147.235
- 5.42.94.125
- 89.23.107.241
- 91.121.118.80
- 94.130.164.47
- 95.216.32.74
IPv4 Port Combinations
- 135.181.47.95:13219
- 142.132.201.228:13219
- 164.132.200.171:15555
- 167.235.34.144:13219
- 185.252.179.18:13219
- 91.121.118.80:13219
- 94.130.164.47:13219
- 94.23.26.20:13219
Imphash
- 1c8b7141d44e96dcc8c22d3bfdac433c
- 8f2649698c183ba2b52e5e425852109d
- 9cd292d1fac1768b38a49bc6b288c67d
- baa93d47220682c04d92f7797d9224ce
- d6d4965d7fe2d90a52736f0db331f81a
SHA256
- 30fb52e4bd3c4866a7b6ccedcfa7a3ff25d73440ca022986a6781af669272639
- 45d29afc212f2d0be4e198759c3c152bb8d0730ba20d46764a08503eab0b454f
- 47439044a81b96be0bb34e544da881a393a30f0272616f52f54405b4bf288c7c
- 5c0987d0ee43f2d149a38fc7320d9ffd02542b2b71ac6b5ea5975f907f9b9bf8
- 7ab8f9720c5f42b89f4b6feda21e7aa20334ba1230c3aef34b0e6481a3425681
- 7c185697d3d3a544ca0cef987c27e46b20997c7ef69959c720a8d2e8a03cd5dc
- 8592e7e7b89cac6bf4fd675f10cc9ba319abd4aa6eaa00fb0b1c42fb645d3410
- acba3311b319a60192be2e29aa8038c863a794be39603a21ee8ee4ccc3ebfca6
- ce56e45ad63065bf16bf736dccb452c48327803b434e20d58a6fed04f1ce2da9
- fc4aa58229b6b2b948325f6630fe640c2527345ecb0e675592885a5fa6d26f03