The Hacker Newsは6月19日(米国時間)、「New Mystic Stealer Malware Targets 40 Web Browsers and 70 Browser Extensions」において、「Mystic Stealer」と呼ばれる新たな情報窃取型マルウェアが発見されたと伝えた。このマルウェアは、40種類以上のWebブラウザおよび70以上のWebブラウザ拡張機能からデータを盗み出せることが明らかにされている。
Mystic StealerはC言語およびPythonで開発されているインフォスティーラ。データ盗用に特化して開発されており、暗号資産ウォレットやSteam、Telegramなどのデータを標的にしていることが確認されている。また、分析を困難にさせるためにコードを難読化させていることも判明している。
コマンド&コントロール(C2: Command and Control)サーバとの通信には、TCP上の独自のバイナリプロトコルが使われており、50のC2サーバの存在が確認されている。Mystic Stealerの購入者がデータログやその他の設定にアクセスできるよう、Pythonで開発されているコントロールパネルも用意されており、インタフェースとして活用されている。
2023年4月下旬に月額150ドルで売り出されたMystic Stealerは、2023年5月にアップデートされ、新たにローダが組み込まれている。ローダは次の段階のペイロードを実行するために実装されており、ペイロードはC2サーバより取得する仕組みになっている。
マルウェアの作者がTelegramの専用チャンネルを通じてマルウェアの改良案を公に募集し、サイバー犯罪者コミュニティに積極的にアピールしていることも明らかにされている。この発見によりアンダーグラウンド市場で脅威者に注目され、脅威がさらに増していると指摘している。
Mystic Stealerは金銭的な目的の攻撃を展開するための基盤として使われる可能性が高くなっているとされ、より高度な技術が組み込まれる危険性があることも指摘されている。
