Mystic Stealer IOCs

Spyware IOC
Опубликовано

ИБ-специалисты обнаружили новую малварь для кражи информации, Mystic Stealer, которая способна воровать данные примерно из 40 различных браузеров и 70 расширений для них.

Mystic Stealer - это новый похититель информации, который был впервые разрекламирован в апреле 2023 года

  • Mystic крадет учетные данные из почти 40 веб-браузеров и более чем 70 расширений для браузеров.
  • Вредоносная программа также нацелена на криптовалютные кошельки, Steam и Telegram.
  • Код сильно обфусцирован с использованием полиморфной обфускации строк, разрешения импорта на основе хэша и вычисления констант во время выполнения.
  • Mystic реализует собственный бинарный протокол, зашифрованный с помощью RC4.

Signatures

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"LOCAL Mystic Stealer C2 Client Hello Packet"; flow:established,to_server; flowbits:set, mystic_stealer_conn_init; flowbits:noalert; dsize:4; content:"|b5 19 6f 94|"; fast_pattern; reference:md5,df80b1e50cfebb0c4dbf5ac51c5d7254; classtype:trojan-activity; sid:9999990; rev:1; metadata:created_at 2023_06_02, malware_family Mystic Stealer, signature_severity Major, updated_at 2023_06_02;)
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"LOCAL Mystic Stealer C2 Session Key Response Packet"; flow:established,to_client; flowbits:isset, mystic_stealer_conn_init; dsize:256; reference:md5,df80b1e50cfebb0c4dbf5ac51c5d7254; classtype:trojan-activity; sid:9999991; rev:1; metadata:created_at 2023_06_02, malware_family Mystic Stealer, signature_severity Major, updated_at 2023_06_02;)

Indicators of Compromise

IPv4

  • 104.21.27.68
  • 104.21.38.108
  • 104.21.52.152
  • 104.21.60.13
  • 104.21.63.115
  • 104.21.72.247
  • 104.21.74.252
  • 104.21.76.230
  • 104.21.87.169
  • 104.21.88.238
  • 116.202.233.49
  • 142.132.201.228
  • 167.235.34.144
  • 172.67.144.196
  • 172.67.145.114
  • 172.67.154.57
  • 172.67.155.235
  • 172.67.169.8
  • 172.67.184.175
  • 172.67.201.239
  • 172.67.209.76
  • 188.40.116.251
  • 194.169.175.123
  • 194.50.153.21
  • 213.142.147.235
  • 5.42.94.125
  • 89.23.107.241
  • 91.121.118.80
  • 94.130.164.47
  • 95.216.32.74

IPv4 Port Combinations

  • 135.181.47.95:13219
  • 142.132.201.228:13219
  • 164.132.200.171:15555
  • 167.235.34.144:13219
  • 185.252.179.18:13219
  • 91.121.118.80:13219
  • 94.130.164.47:13219
  • 94.23.26.20:13219

Imphash

  • 1c8b7141d44e96dcc8c22d3bfdac433c
  • 8f2649698c183ba2b52e5e425852109d
  • 9cd292d1fac1768b38a49bc6b288c67d
  • baa93d47220682c04d92f7797d9224ce
  • d6d4965d7fe2d90a52736f0db331f81a

SHA256

  • 30fb52e4bd3c4866a7b6ccedcfa7a3ff25d73440ca022986a6781af669272639
  • 45d29afc212f2d0be4e198759c3c152bb8d0730ba20d46764a08503eab0b454f
  • 47439044a81b96be0bb34e544da881a393a30f0272616f52f54405b4bf288c7c
  • 5c0987d0ee43f2d149a38fc7320d9ffd02542b2b71ac6b5ea5975f907f9b9bf8
  • 7ab8f9720c5f42b89f4b6feda21e7aa20334ba1230c3aef34b0e6481a3425681
  • 7c185697d3d3a544ca0cef987c27e46b20997c7ef69959c720a8d2e8a03cd5dc
  • 8592e7e7b89cac6bf4fd675f10cc9ba319abd4aa6eaa00fb0b1c42fb645d3410
  • acba3311b319a60192be2e29aa8038c863a794be39603a21ee8ee4ccc3ebfca6
  • ce56e45ad63065bf16bf736dccb452c48327803b434e20d58a6fed04f1ce2da9
  • fc4aa58229b6b2b948325f6630fe640c2527345ecb0e675592885a5fa6d26f03

Похожие записи:
  1. FFDroider Stealer IOC
  2. Redline Stealer IOCs - Part 7
  3. Erbium Stealer IOCs
  4. Mars Stealer IOC
  5. ZingoStealer Malware IOCs
CYFIRMA InQuest Mystic Stealer Zscaler ThreatLabz
Добавить комментарий