Myth Stealer: Razotkrivanje pretnje
Myth Stealer je vrsta zlonamjernog softvera za krađu informacija, dizajniranog da izvuče osjetljive informacije iz kompromitovanih sistema. Njegov primarni cilj je prikupljanje i prenos korisničkih podataka nazad na komandni server radi dalje analize ili eksploatacije, pokazuje istraživanje Trellix Advanced Research Center.
Myth Stealer: Razotkrivanje pretnje; Source: Bing Image Creator
MYTH STEALER
Myth Stealer je napredni zlonamjerni softver za krađu informacija koji je privukao pažnju sigurnosnih istraživača zbog svojih naprednih mogućnosti i profesionalnog pristupa infrastrukturi sajber kriminala. Ovaj zlonamjerni softver, napisan u programskom jeziku Rust, dizajniran je da izvuče osjetljive podatke iz internet pregledača zasnovanih na Chromium i Gecko platformama.
Samo ime Myth Stealer sugeriše nivo sofisticiranosti i lukavstva prijetnji koje stoje iza ove operacije. Sposobnost zlonamjernog softvera da se uklopi sa legitimnim aplikacijama, koristi tehnike protiv analize i redovno ažurira svoj kôd kako bi izbjegao otkrivanje od strane antivirusnog softvera, doprinosi njegovoj reputaciji ozbiljnog neprijatelja u svetu sajber bezbjednosti.
Distribucija
Mehanizam distribucije Myth Stealer zlonamjernog softvera se u velikoj mjeri oslanja na taktike društvenog inženjeringa, pri čemu zlonamjerni akteri prikrivaju zlonamjerni softver kao legitiman softver za igre, alate za prevare u igrama ili beta verzije popularnih igara. Ovaj pristup je posebno efikasan u namamljivanju nesvjesnih korisnika da preuzmu zlonamjerni kôd. Prvobitno ponuđen kao besplatna probna verzija kako bi privukao korisnike, Myth Stealer je prešao na model zasnovan na pretplati, gdje zlonamjerni akteri kupuju nedjeljni i mjesečni pristup koristeći kriptovalute i Razer Gold plaćanja.
Zlonamjerni akteri koji stoje iza ove operacije održavaju više Telegram kanala za distribuciju, ažuriranja, pa čak i svjedočanstva kupaca, demonstrirajući profesionalni pristup infrastrukturi sajber kriminala. Ovaj nivo organizacije je zabrinjavajući, jer sugeriše da su pojedinci koji su uključeni dobro finansirani i da su uložili značajno vreme u razvoj svojih taktika. Razumijevanjem kako zlonamjerni akteri koriste psihologiju da manipulišu pojedincima da preuzmu zlonamjerni kôd, moguće je razviti razviti ciljane kontramjere koje se direktno bave ovim taktikama.
Funkcionisanje
Nakon izvršavanja, Myth Stealer zlonamjerni softver koristi komponentu za učitavanje koja prikazuje ubjedljive lažne prozore žrtvama, dok istovremeno dešifruje i izvršava stvarni korisni teret kradljivca u pozadini. Ovaj dvostruki pristup omogućava Myth Stealer zlonamjernom softveru da obmane čak i najopreznije korisnike da pomisle da rukuju sa legitimnim softverom.
Posebno je vrijedno napomenuti korištenje Rust paketa biblioteka koje omogućavaju zlonamjernom softveru da kreira autentične prozore aplikacija koji maskiraju zlonamjernu aktivnost koja se dešava iza kulisa. Ovaj nivo sofisticiranosti sve više otežava istraživačima bezbjednosti i analitičarima da otkriju prisustvo Myth Stealer zlonamjernog softvera na sistemu. Sama komponenta kradljivca je implementirana kao 64-bitna DLL datoteka sa naprednim funkcijama protiv analize, što dodatno komplikuje napore da se izvrši obrnuti inženjering ili analizira njegovo ponašanje.
Jedan od najagresivnijih aspekata procesa infekcije Myth Stealer zlonamjernim softverom je njegova sposobnost da izbjegne otkrivanje od strane izolovanih okruženja (eng. sandbox) i alata za analizu. Korištenjem maskiranja nizova Myth Stealer zlonamjerni transformiše čitljive nizove u složene XOR operacije koje značajno komplikuju napore obrnutog inženjeringa. Ovaj nivo naprednosti otežava istraživačima bezbjednosti da razumiju kako zlonamjerni softver funkcioniše ili koje podatke prikuplja.
Otkrivanje izolovanih okruženja
Sposobnost Myth Stealer zlonamjernog softvera da otkrije i izbjegava izolovana okruženja je ključna komponenta njegove strategije izbjegavanja. Provjerom određenih korisničkih imena i sistemskih datoteka koje se obično povezuju sa analitičkim okruženjima, Myth Stealer može odmah prekinuti izvršenje ako se takvi indikatori otkriju. Ovaj pristup osigurava da se zlonamjerni softver nenamjerno ne otkrije ili ne ugrozi sopstvene operacije izvršavanjem u okruženju u kojem može biti analiziran.
Pored detekcije izolovanog okruženja, Myth Stealer takođe koristi posebno pametnu tehniku koja uključuje mogućnosti daljinskog otklanjanja grešaka za internet pregledače zasnovane na Chromium platformi. Pokretanjem procesa internet pregledača sa specifičnim parametrima radi uspostavljanja sesije otklanjanja grešaka koja omogućava direktan pristup podacima internet pregledača bez tradicionalnih metoda ekstrakcije zasnovanih na datotekama, Myth Stealer dobija prednost u odnosu na konvencionalne tehnike analize zlonamjernog softvera. Ovaj pristup omogućava zlonamjernom softveru da prikuplja osjetljive informacije iz internet pregledača, izbjegavajući otkrivanje od strane bezbjednosnog softvera.
Mehanizam postojanosti
Mehanizam postojanosti Myth Stealer zlonamjernog softvera je podjednako impresivan u svojoj sofisticiranosti i prikrivenosti. Kreiranjem datoteke pod nazivom “winlnk.exe” u direktorijumu AppData\Roaming korisnika, Myth Stealer uspostavlja uporište na sistemu koje preživljava čak i ponovna pokretanja sistema. Zlonamjerni softver takođe kreira prilagođene unose u sistemski registar koji povezuju lažno ekstenziju datoteke “.lnkk” sa izvršnim programom zlonamjernog softvera, dodatno osiguravajući njegovu postojanost i nizak profil.
Ovaj pristup je posebno vrijedan pažnje, jer izbjegava standardno bezbjednosno praćenje fokusirano na konvencionalne tehnike postojanosti. Korišćenjem imena datoteke koje izgleda legitimno, poput “winlnk.exe”, Myth Stealer se besprijekorno uklapa sa drugim sistemskim datotekama i procesima, što čak i iskusnim analitičarima otežava otkrivanje njegovog prisustva. Korišćenje prilagođenih unosa u registar takođe osigurava da zlonamjerni softver ostane aktivan čak i nakon ponovnog pokretanja sistema ili kada se ažurira bezbjednosni softver.
Eskalacija privilegija
U novijim verzijama Myth Stealer, zlonamjerni softver pokušava da eskalira privilegije koristeći Windows ShellExecuteW API sa parametrima “runas”. Ovaj pristup poboljšava njegovu mogućnost pristupa zaštićenim bazama podataka internet pregledača i prikupljanja osjetljivih informacija od korisnika koji mogu imati povišena dozvola ili administratorska prava.
Ova tehnika eskalacije je posebno značajna pažnje jer omogućava Myth Stealer zlonamjernom softveru da zaobiđe tradicionalne bezbjednosne kontrole koje se oslanjaju na metode ekstrakcije zasnovane na datotekama za prikupljanje podataka. Sve ovo otežava otkrivanje njegovog prisustva analitičarima i sigurnosnim istraživačima.
Izvlačenje podataka iz sistema
Myth Stealer je dizajniran da izvuče osjetljive podatke iz sistema žrtve, a da ga tradicionalna antivirusna rješenja ne otkriju. Proces počinje kada zlonamjerni softver uspješno inficira uređaj i počne skeniranje sistema u potrazi za ključnim datotekama za skladištenje internet pregledača, uključujući baze podataka “Login Data” i “Cookies”. Ove datoteke sadrže osjetljive informacije kao što su sačuvani podaci za prijavu, kolačići, podaci za automatsko popunjavanje, pa čak i tokeni sesije iz popularnih internet internet pregledača.
Nakon što prikupi ove vrijedne podatke, kradljivac podataka ih pakuje u ZIP datoteku za prenos na svoj C2 server. U nekim verzijama zlonamjernog softvera, ZIP datoteka se kodira pomoću base64 prije nego što se pošalje preko interneta. Ovaj proces kodiranja dodatno otežava istraživačima bezbjednosti i antivirusnim rješenjima da otkriju i analiziraju zlonamjernu aktivnost.
C2 server igra ključnu ulogu u olakšavanju komunikacije između zlonamjernog softvera i zlonamjernih aktera. Kada se ZIP datoteka koja sadrži ukradene podatke pošalje sa uređaja žrtve, ona stiže do C2 servera, koji zatim prosljeđuje ove informacije registrovanom mehanizmu za trenutni prenos podataka. Ova postavka omogućava zlonamjernim akterima da dobijaju ažuriranja u realnom vremenu o svojim zlonamjernim aktivnostima bez direktnog učešća u procesu.
Korištenje C2 servera takođe omogućava autorima zlonamjernog softvera da centralizuju kontrolu nad više zaraženih uređaja i efikasnije koordinišu napade. Praćenjem podataka iz različitih izvora, mogu da identifikuju obrasce i trendove koji im pomažu da usavrše svoje taktike i poboljšaju šanse za uspeh. Osim toga, ova infrastruktura omogućava zlonamjernim akterima da brzo prošire svoje operacije, što timovima za bezbjednost dodatno otežava da prate razvoj prijetnji.
Lista ciljanih aplikacija
U nastavku slijedi lista ciljanih aplikacija iz kojih Myth Stealer zlonamjerni softver pokuša da preuzme lozinke, kolačiće, podatke za automatsko popunjavanje i sačuvane podatke o kreditnoj kartici:
| · FireFox | · Torch |
| · Google Chrome | · Orbitum Browser |
| · Chromium | · CentBrowser |
| · Chrome SxS | · Vivaldi |
| · Opera | · Iridium |
| · Opera Stable | · Yandex |
| · Opera GX Stable | · Uran Browser |
| · Brave Browser | · Epic Privacy Browser |
| · Microsoft Edge | · Sputnik Browser |
| · Discord | · 7Star Browser |
| · Discord Canary | · Kometa Browser |
| · Lightcord | · Mail.Ru Atom Browser |
| · Discord PT | · Comodo Browser |
| · Slimjet Browser | · Comodo Dragon Browser |
| · 360Browser | · Sputnik |
| · Maxthon Browser | · K-Meleon Browser |
| · Nichrome | · CocCoc Browser |
| · Amigo Browser |
UTICAJ
Pojava kradljivaca informacija zasnovanih na Rust programskom okruženju ima značajne uticaje na sajber bezbjednost i zaštitu korisničkih podataka. Nedavne kampanje distribucije Myth Stealer naprednog kradljivca informacija putem phishing elektronske pošte i kompromitovanih internet lokacija ističu zabrinjavajući trend u razvoju zlonamjernog softvera, gdje se usvajanje programskog jezika Rust koristi za stvaranje moćnih sajber prijetnji. Kao rezultat toga, korisnici koji se oslanjaju na pregledače zasnovane na Chromium projektu su posebno su ranjivi.
Široko rasprostranjeno usvajanje internet pregledača zasnovanih na Chromium projektu stvorilo je veliku površinu za napad koju zlonamjerni akteri žele da iskoriste. Činjenica da se korisnici često oslanjaju na ove internet pregledače za osjetljive aktivnosti kao što su internet bankarstvo ili kupovinu znači da svako kompromitovanje može imati ozbiljne posljedice, uključujući finansijski gubitak, krađu identiteta ili štetu po reputaciju.
Pored toga, sposobnost zlonamjernog softvera da dešifruje sačuvane podatke za prijavu i kolačiće koristeći prilagođene Rust rutine dodatno naglašava njegov potencijalni uticaj. Ova funkcionalnost omogućava zlonamjernim akterima da zaobiđu lokalne mehanizme zaštite operativnog sistema, što korisnicima čini još težim da se zaštite od takvih prijetnji.
Uticaj ovog kradljivca informacija nije ograničen samo na pojedinačne žrtve, već ima i šire implikacije na sajber bezbjednost uopšte. Rastuća sofisticiranost taktika sajber kriminala znači da korisnici moraju ostati oprezni u pogledu bezbjednosnih rizika povezanih sa internet aktivnostima i preduzimati proaktivne korake kako bi se zaštitili od novih prijetnji.
Pojava ovog zlonamjernog softvera služi kao dobar podsjetnik na potrebu za kontinuiranim ulaganjem u istraživanje i razvoj sajber bezbjednosti. Kako zlonamjerni akteri prilagođavaju svoje taktike kako bi izbjegli tradicionalnu odbranu, neophodno je da branioci budu korak ispred razvijanjem efikasnijih alata za otkrivanje i analizu sposobnih da identifikuju ovakve prijetnje.
ZAKLJUČAK
Pojava novog kradljivca informacija zasnovanog na Rust programskom okruženju donosi nekoliko ključnih problema u oblasti sajber bezbjednosti. Ova napredna prijetnja je posebno dizajnirana da cilja pregledače zasnovane na Chromium projektu i izvuče osjetljive korisničke podatke.
Jedan od glavnih ciljeva ovog zlonamjernog softvera jeste da izvuče podatke koji se nalaze u pregledaču, uključujući sačuvane podatke za prijavu, kolačiće, informacije o automatskom popunjavanju i tokene sesija iz popularnih pregledača, kao što su Google Chrome, Microsoft Edge i Brave. Sposobnost zlonamjernog softvera da skenira uređaj žrtve u potrazi za ključnim datotekama za skladištenje internet internet pregledača dodatno naglašava njegov potencijal za značajnu štetu.
Usvajanje programskog jezika Rust za kreiranje sajber prijetnji je zabrinjavajući trend u razvoju zlonamjernog softvera. Za razliku od tradicionalnih sojeva zlonamjernog softvera koji se uglavnom oslanjaju na C++ ili Python, ovaj kradljivac informacija koristi jedinstvene karakteristike programskog jezika Rust kako bi izbjegao otkrivanje i analizu od strane stručnjaka za bezbjednost. Porast prijetnji zlonamjernog softvera zasnovanih na Rust programskom okruženju naglašava potrebu za poboljšanim mjerama sajber bezbjednosti.
Kontinuirana evolucija zlonamjernog softvera koji krade informacije predstavlja značajan izazov za branioce. Poboljšana analitika ponašanja, rješenja za čuvanje pristupnih podataka i brzo upravljanje ispravkama mogu ublažiti rizik koji predstavljaju takve napredne prijetnje. Međutim, ove mjere moraju biti dopunjene dubljim razumijevanjem taktika koje koriste zlonamjerni akteri koji koriste kradljivce informacija zasnovane na Rust programskom okruženju.
U svjetlu ove nove prijetnje, neophodno je da organizacije ponovo procjene svoj stav u pogledu sajber bezbjednosti i implementiraju robusnu odbranu od zlonamjernog softvera koji krade informacije. Ovo uključuje informisanost o najnovijim dešavanjima u razvoju zlonamjernog softvera, usvajanje proaktivnih bezbjednosnih mjera i negovanje kulture svesti među korisnicima o potencijalnim prijetnjama.
Osim toga, potreba za saradnjom između sigurnosnih timova, istraživača i agencija za sprovođenje zakona ne može se zanemariti. Dijeljenje znanja i najboljih praksi može pomoći da se ostane ispred novih prijetnji poput Myth Stealer kradljivaca informacija. Zajedničkim radom moguće je razviti efikasnije kontraprimjere koje mogu ublažiti rizike koje predstavljaju ove napredne sajber prijetnje.
ZAŠTITA
Evo nekoliko preporuka za zaštitu od Myth Stealer kradljivaca informacija:
Izbjegavati klikove na sumnjive linkove ili preuzimanje priloga iz nepoznatih izvora, jer mogu sadržati zlonamjerni softver poput Myth Stealer zlonamjernog softvera;
Zaštititi naloge korištenjem jedinstvenih i složenih lozinki i razmisliti o omogućavanju autentifikacije u dva koraka (eng. two-factor authentication – 2FA) kako bi se dodao još jedan sloj bezbjednosti od zlonamjernog softvera koji krade lozinke;
Redovno ažurirati operativni sistem, internet pregledač i druge aplikacije kako ni se osiguralo posjedovanje najnovijih bezbjednosnih ispravki i funkcija koje mogu pomoći u sprečavanju infekcija Myth Stealer zlonamjernim softverom;
Instalirati pouzdan antivirusni softver i omogućiti zaštitni zid na uređaju za blokiranje zlonamjernih aktivnosti povezanih sa Myth Stealer zlonamjernim softverom;
Suzdržavati se od pristupa ličnim podacima, internet bankarstvu ili drugim osjetljivim informacijama prilikom korištenja javnih računara ili neobezbijeđenih mreže koje mogu biti ranjive na zlonamjerni softver poput Myth Stealer zlonamjernog softvera;
Pažljivo pratiti izvode iz banke, transakcije na kreditnim karticama i aktivnosti na mreži na nalogu kako bi se otkrili znakovi neovlaštenog pristupa od strane Myth Stealer zlonamjernog softvera;
Izbjegavati korištenje piratskih verzija igara ili drugih aplikacija, jer mogu sadržati zlonamjerni kôd dizajniran za krađu podataka ili instaliranje dodatnog zlonamjernog softvera poput Myth Stealer zlonamjernog softvera;
Redovno pregledati dodatke instalirane u internet pregledačima, jer neki mogu biti zlonamjerni ili ranjivi na zloupotrebu od strane zlonamjernog softvera poput Myth Stealer zlonamjernog softvera;
Sprovoditi redovno skeniranje računara ili mobilnog uređaja pouzdanim antivirusnim alatima kako bi se otkrile sve potencijalne prijetnje, uključujući mogućnosti krađe podataka povezane sa Myth Stealer zlonamjernim softverom;
Potrebno je biti u toku sa najnovijim vestima i savjetima o sajber bezbjednosti iz renomiranih izvora kako bi se osiguralo preduzimanje efikasnih mjera za zaštitu digitalne imovine od prijetnji koje se stalno razvijaju poput Myth Stealer zlonamjernog softvera;
Prateći ove preporuke, korisnici mogu značajno smanjiti rizik da postanu žrtve napada krađe podataka od strane Myth Stealer zlonamjernog softvera.
