Erst seit Ende April wird Mystic Stealer im Darknet für eine Gebühr von 150 US-Dollar pro Monat oder 390 US-Dollar pro Quartal angeboten und hat mit seinem Funktionsangebot viele kriminelle Fans überzeugt. So hat es die Malware auf 40 Webbrowser, 70 Browsererweiterungen, 21 Kryptowährungsanwendungen, 9 MFA- und Passwortverwaltungsanwendungen, 55 Kryptowährungs-browsererweiterungen sowie Steam- und Telegram-Anmeldeinformationen und mehr abgesehen. Seit am 20. Mai die aktuelle Version 1.2 veröffentlicht wurde, verfügt Mystic Stealer außerdem über die Fähigkeit, weitere Malware nachzuladen und eignet sich damit auch für Ransomware-Angriffe.
Beworben wurde die neue Schadsoftware in mehreren Hackerforen, darunter der WWH-Club, BHF und XSS, und auf Marktplätzen im Darknet. Das Projekt betreibt auch den Telegram-Kanal Mystic Stealer News, wo Neuigkeiten zur Entwicklung, Funktionswünsche und andere relevante Themen diskutiert werden. Die Hintermänner scheinen auch Feedback und Funktionswünsche aus der Underground-Hacking-Community zu ihrer Malware anzunehmen, indem sie aktiv dazu auffordern, Verbesserungsvorschläge einzureichen.
Obwohl Mystic Stealer sich derzeit noch in einem frühen Entwicklungsstatus befindet, scheint es sich bereits um eine überaus potente Malware zum Stehlen von Informationen zu handeln, wie die Sicherheitsforscher von Cyfirma berichten. Im Visier stehen alle Versionen von Windows ab dem Betriebssystem XP sowohl in der 32- als auch in der 64-bit-Variante. Da die Malware keine Abhängigkeiten benötigt und darüber hinaus im Speicher der infizierten Systeme arbeitet, hinterlässt sie wenig Spuren und entgeht der Aufmerksamkeit vieler Antivirenprogramme. Darüber hinaus führt Mystic Stealer mehrere Anti-Virtualisierungsprüfungen durch, wie z. B. die Überprüfung der CPUID-Details, um sicherzustellen, dass er nicht in Sandbox-Umgebungen ausgeführt wird. Zscaler berichtet außerdem, dass Versionen, die ein bestimmtes Alter erreicht haben, nicht mehr ausgeführt werden können. Wahrscheinlich soll so sichergestellt werden, dass die aktuelle Malware nicht so einfach von Sicherheitsforschern unter die Lupe genommen werden kann. Über den Ursprung der Malware herrscht noch weitgehendes Unwissen. Da die Programmierer jedoch Länder des Commonwealth of Independent States (CIS) von der Malware ausgenommen haben, könnte sich hier auch der Herkunftsort befinden.
Die gesamte Kommunikation mit dem C2-Server der Hintermänner wird mit einem benutzerdefinierten Binärprotokoll über TCP verschlüsselt, während alle gestohlenen Daten direkt an den Server gesendet werden, ohne sie vorher auf der Festplatte zu speichern. Dies ist ein ungewöhnlicher Ansatz für Malware, die Informationen stiehlt, hilft Mystic Stealer jedoch, sich der Entdeckung zu entziehen. Der Anwender kann bis zu vier C2-Endpunkte konfigurieren, die mit einem modifizierten XTEA-basierten Algorithmus verschlüsselt werden. Wird Mystic Stealer auf einem Gerät erstmals ausgeführt, sammelt das Programm Informationen zum Betriebssystem und zur Hardware, macht einen Screenshot und sendet die Daten an den C2-Server des Angreifers. Je nachdem, welche Anweisungen sie erhält, zielt die Malware dann auf spezifische Daten ab, die in Webbrowsern, Anwendungen usw. gespeichert sind. Der Bericht von Zscaler enthält eine vollständige Liste der angegriffenen Anwendungen, darunter beliebte Webbrowser, Passwortmanager und Kryptowährungs-Wallet-Apps.
Obwohl es sich bei Mystic Stealer um ein noch sehr junges Projekt mit ungewisser Zukunft handelt, signalisiert sein Auftauchen angesichts der unbeständigen Natur illegaler MaaS-Projekte ein erhöhtes Risiko für Benutzer und Organisationen. Der kürzlich hinzugefügte Loader könnte kriminellen Nutzern von Mystic Stealer dabei helfen, zusätzliche Malware wie Ransomware auf kompromittierte Computer zu schmuggeln, weshalb bei der Nutzung von Software aus dem Internet äußerste Vorsicht geboten ist.