Contact
QR code for the current URL

Story Box-ID: 1162673

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Germany http://www.8com.de
Contact Ms Felicitas Kraus +49 30 3030808914
Company logo of 8com GmbH & Co. KG

Mystic Stealer: Neue MaaS auf dem Vormarsch

Die Malware Mystic Stealer wird im Darkweb als Malware as a Service (MaaS) angeboten. Obwohl sie erst seit April im Umlauf ist, wird sie bereits jetzt von vielen Cyberkriminellen genutzt.

(PresseBox) (Neustadt an der Weinstraße, )
Fast kein Tag vergeht, ohne dass Sicherheitsforscher neue Sicherheitslücken oder Schadsoftware entdecken. Doch wenn zwei Gruppen von Sicherheitsforschern fast zeitgleich ihre Erkenntnisse zu einer neuen Malware veröffentlichen, spricht das dafür, dass diese Malware gerade besonders aktiv und damit gefährlich ist. Das trifft auch auf Mystic Stealer zu. Sicherheitsforscher sowohl von Zscaler als auch von Cyfirma sind auf Mystic Stealer aufmerksam geworden und warnen in ihren jeweiligen Berichten vor der Malware, die Informationen stiehlt und spätestens seit der letzten Version 1.2 weitere Payloads wie etwa Ransomware auf infizierte Geräte nachladen kann.

Erst seit Ende April wird Mystic Stealer im Darknet für eine Gebühr von 150 US-Dollar pro Monat oder 390 US-Dollar pro Quartal angeboten und hat mit seinem Funktionsangebot viele kriminelle Fans überzeugt. So hat es die Malware auf 40 Webbrowser, 70 Browsererweiterungen, 21 Kryptowährungsanwendungen, 9 MFA- und Passwortverwaltungsanwendungen, 55 Kryptowährungs-browsererweiterungen sowie Steam- und Telegram-Anmeldeinformationen und mehr abgesehen. Seit am 20. Mai die aktuelle Version 1.2 veröffentlicht wurde, verfügt Mystic Stealer außerdem über die Fähigkeit, weitere Malware nachzuladen und eignet sich damit auch für Ransomware-Angriffe.

Beworben wurde die neue Schadsoftware in mehreren Hackerforen, darunter der WWH-Club, BHF und XSS, und auf Marktplätzen im Darknet. Das Projekt betreibt auch den Telegram-Kanal Mystic Stealer News, wo Neuigkeiten zur Entwicklung, Funktionswünsche und andere relevante Themen diskutiert werden. Die Hintermänner scheinen auch Feedback und Funktionswünsche aus der Underground-Hacking-Community zu ihrer Malware anzunehmen, indem sie aktiv dazu auffordern, Verbesserungsvorschläge einzureichen.

Obwohl Mystic Stealer sich derzeit noch in einem frühen Entwicklungsstatus befindet, scheint es sich bereits um eine überaus potente Malware zum Stehlen von Informationen zu handeln, wie die Sicherheitsforscher von Cyfirma berichten. Im Visier stehen alle Versionen von Windows ab dem Betriebssystem XP sowohl in der 32- als auch in der 64-bit-Variante. Da die Malware keine Abhängigkeiten benötigt und darüber hinaus im Speicher der infizierten Systeme arbeitet, hinterlässt sie wenig Spuren und entgeht der Aufmerksamkeit vieler Antivirenprogramme. Darüber hinaus führt Mystic Stealer mehrere Anti-Virtualisierungsprüfungen durch, wie z. B. die Überprüfung der CPUID-Details, um sicherzustellen, dass er nicht in Sandbox-Umgebungen ausgeführt wird. Zscaler berichtet außerdem, dass Versionen, die ein bestimmtes Alter erreicht haben, nicht mehr ausgeführt werden können. Wahrscheinlich soll so sichergestellt werden, dass die aktuelle Malware nicht so einfach von Sicherheitsforschern unter die Lupe genommen werden kann. Über den Ursprung der Malware herrscht noch weitgehendes Unwissen. Da die Programmierer jedoch Länder des Commonwealth of Independent States (CIS) von der Malware ausgenommen haben, könnte sich hier auch der Herkunftsort befinden.

Die gesamte Kommunikation mit dem C2-Server der Hintermänner wird mit einem benutzerdefinierten Binärprotokoll über TCP verschlüsselt, während alle gestohlenen Daten direkt an den Server gesendet werden, ohne sie vorher auf der Festplatte zu speichern. Dies ist ein ungewöhnlicher Ansatz für Malware, die Informationen stiehlt, hilft Mystic Stealer jedoch, sich der Entdeckung zu entziehen. Der Anwender kann bis zu vier C2-Endpunkte konfigurieren, die mit einem modifizierten XTEA-basierten Algorithmus verschlüsselt werden. Wird Mystic Stealer auf einem Gerät erstmals ausgeführt, sammelt das Programm Informationen zum Betriebssystem und zur Hardware, macht einen Screenshot und sendet die Daten an den C2-Server des Angreifers. Je nachdem, welche Anweisungen sie erhält, zielt die Malware dann auf spezifische Daten ab, die in Webbrowsern, Anwendungen usw. gespeichert sind. Der Bericht von Zscaler enthält eine vollständige Liste der angegriffenen Anwendungen, darunter beliebte Webbrowser, Passwortmanager und Kryptowährungs-Wallet-Apps.

Obwohl es sich bei Mystic Stealer um ein noch sehr junges Projekt mit ungewisser Zukunft handelt, signalisiert sein Auftauchen angesichts der unbeständigen Natur illegaler MaaS-Projekte ein erhöhtes Risiko für Benutzer und Organisationen. Der kürzlich hinzugefügte Loader könnte kriminellen Nutzern von Mystic Stealer dabei helfen, zusätzliche Malware wie Ransomware auf kompromittierte Computer zu schmuggeln, weshalb bei der Nutzung von Software aus dem Internet äußerste Vorsicht geboten ist.

8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.