
Un nouveau logiciel malveillant voleur d’informations nommé « Mystic Stealer » a été promu sur les forums de piratage et les marchés du darknet depuis avril 2023, gagnant rapidement du terrain dans la communauté de la cybercriminalité.
Le malware, loué pour 150 $/mois, cible 40 navigateurs Web, 70 extensions de navigateur, 21 applications de crypto-monnaie, 9 applications MFA et de gestion des mots de passe, 55 extensions de navigateur de crypto-monnaie, les identifiants Steam et Telegram, et plus encore.
Deux rapports individuels sur Mystic Stealer, publiés presque simultanément par Zscaler et Cyfirma, mettent en garde contre l’émergence du nouveau malware, sa sophistication et ce qui semble être une augmentation des ventes qui amène de nombreuses nouvelles campagnes en ligne.
L’ascension de Mystic Stealer
Mystic Stealer a lancé la version 1.0 fin avril 2023 mais est rapidement passé à la version 1.2 vers la fin mai, indiquant un développement actif pour le projet.

Le vendeur a annoncé le nouveau logiciel malveillant sur plusieurs forums de piratage, y compris le WWH-Club, BHF et XSS, le louant aux personnes intéressées pour le prix d’abonnement compétitif de 150 $ par mois ou 390 $ par trimestre.

Le projet exploite également une chaîne Telegram (Mystic Stealer News) où les nouvelles sur le développement, les demandes de fonctionnalités et d’autres sujets pertinents sont discutés.
Il est rapporté que le créateur du nouveau malware accepte les commentaires des membres établis de la communauté de piratage clandestin et les invite ouvertement à partager des suggestions pour améliorer Mystic.
Cyfirma rapporte que des vétérans de l’espace ont vérifié l’efficacité du logiciel malveillant et confirmé que malgré son état de développement précoce, il s’agit d’un puissant voleur d’informations.

Détails techniques
Mystic Stealer peut cibler toutes les versions de Windows, y compris XP à 11, prenant en charge les architectures de système d’exploitation 32 et 64 bits.
Le logiciel malveillant n’a besoin d’aucune dépendance, son empreinte sur les systèmes infectés est donc minime, tandis qu’il fonctionne en mémoire pour éviter d’être détecté par les produits antivirus.
De plus, Mystic effectue plusieurs vérifications anti-virtualisation, comme l’inspection des détails du CPUID pour s’assurer qu’il n’est pas exécuté dans des environnements en bac à sable.
L’auteur de Mystic a ajouté une exclusion pour les pays de la Communauté des États indépendants (CEI) (anciennement l’Union soviétique), ce qui pourrait indiquer l’origine du nouveau logiciel malveillant.
Zscaler signale qu’une autre restriction définie par le créateur est d’empêcher le logiciel malveillant d’exécuter des versions antérieures à une date spécifiée, éventuellement pour minimiser l’exposition du logiciel malveillant aux chercheurs en sécurité.
À partir du 20 mai 2023, l’auteur du logiciel malveillant a ajouté une fonctionnalité de chargeur permettant à Mystic de récupérer des charges utiles supplémentaires à partir du serveur C2.
Toutes les communications avec le C2 sont cryptées à l’aide d’un protocole binaire personnalisé sur TCP, tandis que toutes les données volées sont envoyées directement au serveur sans les stocker au préalable sur le disque.
Il s’agit d’une approche inhabituelle pour les logiciels malveillants voleurs d’informations, mais aide Mystic à échapper à la détection.
L’opérateur peut configurer jusqu’à quatre points de terminaison C2 pour la résilience, qui sont chiffrés à l’aide d’un algorithme modifié basé sur XTEA.

Capacités de vol
Lors de la première exécution, Mystic rassemble les informations sur le système d’exploitation et le matériel et prend une capture d’écran, envoyant les données au serveur C2 de l’attaquant.
Selon les instructions qu’il reçoit, le logiciel malveillant ciblera des données plus spécifiques stockées dans les navigateurs Web, les applications, etc.
Le rapport de Zscaler donne la liste complète des applications ciblées, qui comprend les navigateurs Web populaires, les gestionnaires de mots de passe et les applications de portefeuille de crypto-monnaie.
Les entrées notables de la liste incluent:
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Opera
- Vivaldi
- Brave-Browser
- Binance
- Exodus
- Bitcoin
- Litecoin
- Electrum
- Authy 2FA
- Gauth Authenticator
- EOS Authenticator
- LastPass: Free Password Manager
- Trezor Password Manager
- RoboForm Password Manager
- Dashlane — Password Manager
- NordPass Password Manager & Digital Vault
- Browserpass
- MYKI Password Manager & Authenticator
Bien que l’avenir de Mystic Stealer soit toujours en débat, compte tenu de la nature volatile des projets MaaS illégaux, son émergence signale un risque élevé pour les utilisateurs et les organisations.
L’ajout récent d’un chargeur pourrait aider les opérateurs Mystic à déposer des charges utiles telles que des ransomwares sur des ordinateurs compromis. Une extrême prudence est donc recommandée lors du téléchargement de logiciels sur Internet.