Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Myth Stealer: Новый Rust-стилер с продвинутыми методами обхода защиты

3 мин
Недавно выявленная вредоносная программа infostealer под названием Myth Stealer привлекла внимание экспертов благодаря своей оригинальной реализации на базе Rust programming foundation и комплексным технологиям сохранения присутствия в системе. Этот новый зловред, первоначально обнаруженный Центром перспективных исследований Trellix в ходе проактивного поиска угроз, начал активно распространяться в Telegram с конца декабря 2024 года. Поначалу Myth Stealer распространялся как бесплатная пробная версия, что позволяло злоумышленникам быстро привлечь пользователей и потенциальных операторов. Позже вредонос перешёл на модель подписки, предлагающую регулярные обновления и новые функциональные возможности, что свидетельствует о высокой коммерческой организации создателей. Распространение программы происходит преимущественно через мошеннические игровые веб-сайты. Вредонос маскируется под полезное игровое ПО и размещается в различных архивных форматах (RAR, ZIP), зачастую защищённых паролем, чт
Оглавление

Новое поколение infostealer: Myth Stealer на Rust меняет правила игры в кибербезопасности

Недавно выявленная вредоносная программа infostealer под названием Myth Stealer привлекла внимание экспертов благодаря своей оригинальной реализации на базе Rust programming foundation и комплексным технологиям сохранения присутствия в системе. Этот новый зловред, первоначально обнаруженный Центром перспективных исследований Trellix в ходе проактивного поиска угроз, начал активно распространяться в Telegram с конца декабря 2024 года.

Модель распространения и коммерческая стратегия

Поначалу Myth Stealer распространялся как бесплатная пробная версия, что позволяло злоумышленникам быстро привлечь пользователей и потенциальных операторов. Позже вредонос перешёл на модель подписки, предлагающую регулярные обновления и новые функциональные возможности, что свидетельствует о высокой коммерческой организации создателей.

Распространение программы происходит преимущественно через мошеннические игровые веб-сайты. Вредонос маскируется под полезное игровое ПО и размещается в различных архивных форматах (RAR, ZIP), зачастую защищённых паролем, что усложняет технический анализ и обнаружение на ранних этапах.

Механизмы заражения и уклонения от обнаружения

После запуска Myth Stealer отображает поддельное окно для дезинформации пользователя. Тем временем он незаметно расшифровывает и выполняет основную вредоносную нагрузку, используя методы шифрования как XOR и AES. Важным элементом загрузчика служит Rust-ящик под названием include-crypt.

Основная 64-разрядная DLL-библиотека stealer применяет современные техники антианализа:

  • Проверка наличия специфичных файлов и имён пользователей для определения эмулятора или изолированной среды
  • Завершение процесса при выявлении признаков анализа или песочницы

Функциональные возможности по сбору данных

Myth Stealer специализируется на сборе конфиденциальных данных из различных приложений и ориентирован на браузеры двух типов:

  • Gecko-based browsers
  • Chromium-based browsers — для них используется удалённая отладка с целью извлечения файлов cookie

В последних версиях вредонос пытается повысить свои привилегии, используя функцию ShellExecuteW из Windows API, что повышает шансы обхода защиты и доступа к критичным системным ресурсам.

Передача и сокрытие данных

Передача украденной информации осуществляется через сервер управления (C2) по IP 185.224.3.219:8080. В отличие от прошлых версий, где использовались доменные имена, текущая конфигурация работает непосредственно с IP, что затрудняет блокировку и мониторинг.

Отправляемые данные компилируются в ZIP-архивы и передаются через определённые конечные точки, часто дополнительно обфусцированные с помощью:

  • base64 encoding
  • манипуляций с байтами для снижения шансов обнаружения

Собранные данные содержат:

  • файлы cookie
  • токены аутентификации
  • логины и пароли, структурированные в удобочитаемом формате

Дополнительные злонамеренные функции

Myth Stealer обладает функцией мониторинга буфера обмена, что позволяет перехватывать криптовалютные транзакции. Вредоносная программа заменяет адреса предполагаемых получателей на адреса злоумышленников, обеспечивая таким образом прямое похищение цифровых активов.

Кроме того, после этапа сбора данных программа мгновенно делает скриншоты экрана заражённой системы, повышая эффективность и оперативность получения информации.

Устойчивость и постоянство в системе

Для обеспечения долговременного присутствия Myth Stealer реплицируется в системных каталогах Windows, создавая труднодоступные следы своего присутствия и усложняя удаление. Это указывает на высокую организацию авторов вредоносного ПО и их желание обеспечить максимальную адаптивность к средствам защиты.

Заключение

Myth Stealer демонстрирует рост уровня сложности и профессионализма в индустрии infostealer’ов. Использование Rust, передовые техники антианализа, агрессивные методы сбора и передачи данных, а также коммерческая модель подписки делают этот вредонос серьёзной угрозой. Экспертам и организациям следует обратить пристальное внимание на обновление систем защиты и обучение пользователей, особенно в средах с интенсивным использованием браузеров и криптовалютных сервисов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Myth Stealer: Новый Rust-стилер с продвинутыми методами обхода защиты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.