Mystic Stealer Favorit Hacker
Dunia maya kembali dibuat sibuk dengan kehadiran Mystic Stealer favorit hacker di dunia maya dengan kemampuan mencuri tingkat tinggi.
Malware pencuri informasi baru bernama Mystic Stealer dijajakan di forum peretasan dan pasar darknet sejak April 2023, dengan cepat mendapatkan perhatian di komunitas penjahat dunia maya.
Malware disewakan seharga $150/bulan, menargetkan 40 browser web, 70 ekstensi browser, 21 aplikasi cryptocurrency, 9 MFA dan aplikasi manajemen kata sandi, 55 ekstensi browser cryptocurrency, kredensial Steam dan Telegram, dan banyak lagi.
Baca juga: Info Stealer Pencuri Facebook
Debut Mystic Stealer
Mystic Stealer memulai debutnya versi 1.0 pada akhir April 2023 tetapi dengan cepat ditingkatkan ke versi 1.2 menjelang akhir Mei, menunjukkan pengembangan aktif untuk proyek tersebut.
Penjual mengiklankan malware baru di beberapa forum peretasan, termasuk WWH-Club, BHF, dan XSS, menyewakannya kepada individu yang tertarik dengan harga langganan kompetitif $150 per bulan atau $390 per kuartal.
Proyek ini juga mengoperasikan saluran Telegram (Mystic Stealer News) tempat berita pengembangan, permintaan fitur, dan topik relevan lainnya dibahas.
Para pembuat malware baru menerima umpan balik dari anggota berpengalaman dari komunitas peretasan bawah tanah dan secara terbuka mengundang mereka untuk berbagi saran untuk meningkatkan Mystic.
Sementara para peneliti keamanan telah memverifikasi keefektifan malware dan mengonfirmasi bahwa meskipun status pengembangannya masih awal, malware ini adalah pencuri informasi yang kuat.
Baca juga: Info Stealer Maling Pencuri Informasi yang Sedang Naik Daun
Modus Operandi
Mystic Stealer dapat menargetkan semua versi Windows, termasuk XP hingga 11, mendukung arsitektur OS 32 dan 64-bit.
Malware tidak memerlukan dependensi apa pun, jadi jejaknya pada sistem yang terinfeksi minimal, beroperasi di memori untuk menghindari deteksi dari produk antivirus.
Selain itu, Mystic melakukan beberapa pemeriksaan anti virtualisasi, seperti memeriksa detail CPUID untuk memastikannya tidak dijalankan di lingkungan sandbox.
Pengembang malware Mystic telah menambahkan pengecualian untuk negara-negara Commonwealth of Independent States (CIS) (sebelumnya Uni Soviet), yang dapat mengindikasikan asal malware baru.
Batasan lain yang ditetapkan oleh pengembangnya adalah untuk mencegah malware menjalankan build yang lebih lama dari tanggal yang ditentukan, mungkin untuk meminimalkan paparan malware terhadap peneliti keamanan.
Mulai 20 Mei 2023, pengembang malware menambahkan fungsi loader yang memungkinkan Mystic mengambil muatan tambahan dari server C2.
Semua komunikasi dengan C2 dienkripsi menggunakan protokol biner khusus melalui TCP, sementara semua data yang dicuri dikirim langsung ke server tanpa terlebih dahulu menyimpannya di disk.
Ini adalah pendekatan yang tidak biasa untuk malware pencuri info tetapi membantu Mystic menghindari deteksi.
Operator dapat mengonfigurasi hingga empat titik akhir C2 untuk ketahanan, yang dienkripsi menggunakan algoritme berbasis XTEA yang dimodifikasi.
Baca juga: 7 Cara Malware Menyusup
Ahli Mencuri
Setelah eksekusi pertama, Mystic mengumpulkan informasi OS dan perangkat keras dan mengambil tangkapan layar, mengirimkan data ke server C2 pelaku.
Bergantung pada instruksi yang diterimanya, malware akan menargetkan data yang lebih spesifik yang disimpan di browser web, aplikasi, dll.
Berikut daftar lengkap aplikasi yang ditargetkan, yang mencakup browser web populer, pengelola kata sandi, dan aplikasi dompet cryptocurrency.
Entri penting dalam daftar termasuk:
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Opera
- Vivaldi
- Brave-Browser
- Binance
- Exodus
- Bitcoin
- Litecoin
- Elektrum
- Authy 2FA
- Otentikator Gauth
- Otentikator EOS
- LastPass: Pengelola Kata Sandi Gratis
- Pengelola Kata Sandi Trezor
- Pengelola Kata Sandi RoboForm
- Dashlane — Pengelola Kata Sandi
- Pengelola Kata Sandi NordPass & Gudang Digital
- Browserpass
- Pengelola Kata Sandi & Otentikator MYKI
Meskipun masa depan Mystic Stealer masih diperdebatkan, mengingat sifat proyek MaaS ilegal yang mudah berubah, kemunculannya menandakan peningkatan risiko bagi pengguna dan perusahaan.
Penambahan loader baru-baru ini dapat membantu operator Mystic menjatuhkan muatan seperti ransomware ke komputer yang dikompromikan, jadi disarankan untuk sangat berhati-hati saat mengunduh perangkat lunak dari internet.
Sumber berita:
