Selama perburuan ancaman proaktif reguler, Pusat Penelitian Tingkat Lanjut Trellix mengidentifikasi sampel malware infostealer yang sepenuhnya tidak terdeteksi yang ditulis dalam kode karat yang menargetkan game.
Setelah diselidiki lebih lanjut, tim di Trellix menemukan bahwa pencuri mitos yang dipasarkan di telegram sejak akhir Desember 2024. TRELLIX mengeluarkan laporan yang dijuluki “Demistifying Myth Stealer: A Rust Based Infostealer,” yang ditulis oleh Niranjan Hegde, Vasantha Lakshmanan Ambasankar dan Adarshan.
Infostealers adalah jenis malware yang menyusup ke sistem komputer dan memiliki fungsionalitas untuk mengumpulkan kata sandi, cookie, informasi kartu kredit, data lengkap, riwayat penelusuran, dan riwayat unduhan file dari browser.
Sampel yang ditulis dalam karat berarti bahwa malware telah ditulis menggunakan bahasa pemrograman spesifik yang dikenal sebagai “karat” yang menyimpang dari bahasa pemrograman umum seperti C/C ++ di mana malware sebelumnya telah ditulis. Ini lebih dipahami dan dianalisis oleh para peneliti dan pembela ancaman.
Keuntungan menggunakan “karat” adalah dukungan platform maksimum dalam hal sistem operasi di mana malware ini dapat dieksekusi, berpotensi memperluas paparan organisasi korban.
Myth Stealer adalah nama malware berbasis karat yang secara aktif dipromosikan di telegram, menawarkan fitur-fitur canggih yang membuatnya sangat menarik bagi penjahat cyber. Grup di balik malware ini tidak menyiapkan situs game; Sebaliknya, mereka memberikan berlangganan malware. Penyerang yang kemudian berlangganan malware khusus ini adalah yang menyiapkan situs game.
Awalnya, ditawarkan secara gratis untuk uji coba dan kemudian berkembang menjadi model berbasis berlangganan. Investigasi mengungkapkan bahwa infostealer ini didistribusikan melalui berbagai situs web game yang curang. Setelah dieksekusi, malware menampilkan jendela palsu agar terlihat sah sambil secara bersamaan mendekripsi dan menjalankan kode berbahaya di latar belakang.
Infostealer menargetkan browser berbasis Gecko dan kromium, mengekstraksi data sensitif termasuk kata sandi, cookie, dan informasi otomatis. Ini juga berisi teknik anti-analisis seperti pengayaan string dan pemeriksaan sistem menggunakan nama file dan nama pengguna.
Penulis malware secara teratur memperbarui kode pencuri untuk menghindari deteksi AV dan memperkenalkan fungsi tambahan seperti kemampuan menangkap layar dan pembajakan clipboard.
Posting ini dibuat pada akhir Desember 2024. Saluran telegram digunakan untuk berbagi pembaruan tentang malware pencuri mitos. Tim yang terorganisir kemungkinan mengembangkan dan memeliharanya, berdasarkan aktivitas di saluran.
Setelah Telegram mematikan saluran awal, operator membuat grup baru untuk terus berbagi pembaruan malware. Mereka secara rutin mengumumkan versi baru dalam grup ini, menekankan tingkat deteksi nol pada virustotal. Pengguna perlu membangun kembali malware untuk mengintegrasikan pembaruan terbaru ke dalam build mereka.
Saat ini, malware ditawarkan berdasarkan mingguan dan bulanan berlangganan. Ini dapat dibeli menggunakan Crypto-Currency dan Razer Gold. Selain itu, mereka mempertahankan saluran terpisah berjudul 'Myth Vouches & Marketplace,' di mana pengguna pencuri ini memberikan kesaksian dan mengiklankan penjualan akun yang dikompromikan yang diperoleh dengan menggunakan pencuri ini. Saat ini ditutup dengan telegram.
Dalam contoh lain, kami menemukan seorang aktor yang telah memposting tautan ke file RAR berbahaya di forum online dengan kedok perangkat lunak cheat bernama “DDTrace KRX Ultimate Crack”. Untuk menetapkan kredibilitas dalam komunitas forum, aktor ini menyediakan tautan virusotal yang menunjukkan deteksi nol pada waktu itu.
Pencuri mitos disajikan sebagai celah perangkat lunak curang game di forum online. Kemampuan Sesuai penyelidikan kami, malware berkembang selama periode waktu tertentu. Awalnya, ketika didistribusikan sebagai versi uji coba gratis, itu hanya mencuri data dari aplikasi.
Ketika beralih ke model berbasis berlangganan, itu dijual dengan fungsi tambahan seperti menampilkan jendela palsu, mengambil tangkapan layar, pembajakan clipboard dll. Tim di belakang malware ini terus refactoring dan memperbarui kode untuk memastikan bahwa malware tidak memiliki deteksi di Virustotal.
Pembaruan ini termasuk mengubah pustaka yang digunakan untuk menampilkan jendela palsu, memperbarui komunikasi dengan server C2 dll. Di bagian berikut, para peneliti merinci berbagai fungsi yang ditunjukkan oleh malware di berbagai versi.
Saat ini, malware adalah sampel 64-bit yang ditulis dalam karat yang berisi loader yang mendekripsi dan menjalankan komponen pencuri. Loader dengan jendela palsu setelah malware berhasil diunduh dan dieksekusi di mesin korban, loader menampilkan jendela palsu kepada pengguna.
Jendela -jendela palsu ini digunakan untuk membodohi korban agar berpikir bahwa aplikasi yang sah dieksekusi. Ini menggunakan peti karat: asli-windows-gui atau egui atau native_dailog untuk membuat dan menampilkan jendela palsu.
Beberapa jendela palsu yang ditampilkan oleh loader. Sementara jendela palsu ditunjukkan kepada korban, loader mendekripsi komponen pencuri menggunakan enkripsi XOR atau AES, memanfaatkan peti karat termasuk crypt. Dalam versi terbaru, loader menggunakan algoritma khusus untuk mendekripsi komponen pencuri.
Kesimpulan
Infostealer berbasis karat yang baru muncul, pencuri mitos, terus berevolusi melintasi versinya, membuatnya semakin sulit untuk dideteksi solusi titik akhir. Penggunaan kebingungan string, komunikasi C2 sembunyi -sembunyi, dan fitur seperti jendela palsu mencerminkan teknik penghindaran canggih aktor ancaman.
Pengembangan dan peningkatan yang konsisten dari pencuri mitos menggarisbawahi tekad penyerang untuk tetap berada di depan pertahanan keamanan, menimbulkan risiko serius dan gigih bagi pengguna, terutama gamer yang ditargetkan melalui situs web game yang curang.
