Myth Stealer: новый угонщик данных на Rust, маскирующийся под игровое ПО

Зловред маскируется под легитимное игровое ПО и распространяется через фальшивые сайты с играми. При запуске он демонстрирует пользователю поддельное окно, имитирующее работу программы, а в фоновом режиме расшифровывает и выполняет вредоносный код. Myth Stealer ворует пароли, куки, данные автозаполнения и информацию о банковских картах из браузеров на базе Chromium и Gecko. Для усложнения анализа злоумышленники применяют обфускацию строк, проверку имени пользователя и файлов, а также регулярно обновляют код, чтобы избежать детектирования антивирусами.

Разработчики Myth Stealer активно используют Telegram для продвижения своего продукта, предлагая его по подписке за криптовалюту или Razer Gold. После блокировки первоначального канала злоумышленники создали новый, где публикуют обновления и хвастаются нулевым уровнем детектирования на VirusTotal. Кроме того, существовал отдельный чат для отзывов и продажи украденных аккаунтов, но Telegram его заблокировал.

Для распространения зловреда злоумышленники используют архивы (RAR, ZIP) с игровыми файлами или исполняемые EXE-файлы, маскирующиеся под читы и взломанные версии ПО. В некоторых случаях архив защищен паролем, который совпадает с названием игры и суффиксом "beta" или "alpha".

Среди новых функций Myth Stealer - перехват буфера обмена для подмены криптокошельков жертвы на адреса злоумышленников, а также создание скриншотов экрана. Собранные данные отправляются на сервер 185[.]224[.]3[.]219, а в ранних версиях использовался домен myth[.]cocukporno[.]lol. Для обеспечения персистентности зловред копирует себя в папку AppData и создает автозагрузочную запись в реестре.

Аналитики Trellix отмечают, что Myth Stealer продолжает развиваться, добавляя новые методы обхода защиты и функционал, что делает его серьезной угрозой для пользователей.

Domains

• myth.cocukporno.lol

URLs

• http://82.153.138.221:7340/post
• http://everlight-beta.netlify.app/
• https://185.224.3.219/screen
• https://185.224.3.219:8080/api/send
• https://cheatglobal.com/konu/ddrace-krx-ultimate-crack.72186/page-1
• https://discord.com/api/webhooks/1324002441498202153/0KSAK6Fw00eryKz4BpysAJbo4jCxaJY3bRlcZGdmFhx03854FFdFvic1hQZDaZ2fmUIr
• https://gofile.io/d/tr1WIK
• https://luraka-game.github.io/luraka/
• https://www.plaquist-simulator.com/
• https://yomiragame.blogspot.com/2025/03/yomiragame.html

SHA256

• 0631a62a173833c7c821989e63f77632ecce30ca5a7049db4898ff0505abf32e
• 100a36c2c6934b93f00dc7432bb1c6c4d849586d851fd6358d062435d1e3dae7
• 1847288195fcfc03fc186bf4eead4268048ef5e082dedb963b3450ee07c23883
• 2e2cf06b6c7949b139356fb95c7ac0246c94f769d85dfa85122c004b9a2989e7
• 4caa37c208ce1bb54791c0b13af2bd45bf90ea456098aaca37a0a9c53ebdccff
• 55a418f8562684607ee0acd745595e297ab7e586d0a5d3f8328643b29c72dfa2
• 565863cf176e5d094e75e31844eb542ca07c516673ed245a424d7326bd474e0b
• 65a84024daf30c12fd2e76db661bf6e85f3da30bb3aaa7e774152855d718b0c4
• 6c54e6648a6a33583d7707a9f7c5e83dd08ed481df6354c52e8f81e729d74a82
• 7e2bed39eea850960a0d043e6e671154f413f5fe2cc7cafe6d92c903b3a2e8d1
• 858ec188573e8989c9be47263c8520fe8546a583dfd35e62241dc26f4ba90491
• acd66cb5f1447b803245c495400ad0886352920e35defcca6c45519fb7d33693
• b180f6f9f7eb0bb1a12a7e7c8216499366419b1083c84c4af5b0ee69b3016186
• c7ae9d808e97fe6d6bf97aaf0775b9b6e68449f10bcc933bf07ba9d34d75a379
• d147b9bde49b53e83b9c0b37d2001ccf7d195371672e782d58a12ef639efa95c
• e5d09da6648add4776de8091b0182b935405791bf41476465b0e7dcb066fc0dc
• f7cb6626e311181d9ded9536b1fbdf709b8254abd8d0810e04cebefea2fed131