Durante a caça regular de ameaças proativas, o Trellix Advanced Research Center identificou um totalmente não detectado Infotealer amostra de malware escrita em código de ferrugem que segmentou jogos.
Após uma investigação mais aprofundada, a equipe da Trellix descobriu que era o ladrão de mitos que estava sendo comercializado no telegrama desde o final de dezembro de 2024. Trellix lançou um relatório apelidado de “ladrão de mitos desmistificadores: um infotealer baseado em ferrugem”, escrito por Niranjan Hegde, Vasantha, Lakshmanan Fabring e Adarshs.
Infotealers é um tipo de malware Isso se infiltra nos sistemas de computador e tem a funcionalidade de coletar senhas, cookies, informações sobre cartão de crédito, dados de preenchimento automático, histórico de navegação e histórico de download de arquivos dos navegadores.
Uma amostra escrita em Ferrugem significa que o malware foi escrito usando uma linguagem de programação específica conhecida como “ferrugem” divergente de linguagens de programação comuns, como C/C ++, nas quais os malwares anteriores foram escritos. É mais amplamente compreendido e analisado por pesquisadores e defensores de ameaças.
A vantagem de usar “ferrugem” é o suporte máximo da plataforma em termos do sistema operacional no qual esse malware pode ser executado, potencialmente ampliando a exposição às organizações de vítimas.
O ladrão de mitos é o nome do malware baseado em ferrugem que foi promovido ativamente no Telegram, oferecendo recursos avançados que o tornam altamente atraente para os cibercriminosos. O grupo por trás desse malware não está configurando os sites de jogos; Em vez disso, eles fornecem uma assinatura do malware. Os invasores que então assinam esse malware em particular são os que configuram sites de jogos.
Inicialmente, foi oferecido gratuitamente para julgamento e depois evoluiu para um modelo baseado em assinatura. A investigação revelou que este Infotealer é distribuído por vários sites de jogos fraudulentos. Após a execução, o malware exibe uma janela falsa para parecer legítima enquanto descriptografia e executa simultaneamente o código malicioso em segundo plano.
O Infotealer tem como alvo os navegadores baseados em lagartixas e baseados em cromo, extraindo dados confidenciais, incluindo senhas, cookies e informações de preenchimento automático. Ele também contém técnicas de anti-análise, como ofuscação de string e verificações do sistema usando nomes de arquivos e nome de usuário.
Os autores de malware atualizam regularmente o código do ladrão para evitar a detecção de AV e introduzir funcionalidades adicionais, como capacidade de captura de tela e seqüestro de quadro.
Esta postagem foi feita no final de dezembro de 2024. Um canal de telegrama foi usado para compartilhar atualizações sobre o malware do mito do roubo. Uma equipe organizada provavelmente o desenvolveu e manteve, com base na atividade no canal.
Depois que o telegrama fechou o canal inicial, os operadores criaram um novo grupo para continuar compartilhando atualizações de malware. Eles anunciam rotineiramente novas versões nesse grupo, enfatizando taxas de detecção zero no Virustototal. Os usuários precisam reconstruir o malware para integrar as atualizações mais recentes em suas construções.
Atualmente, o malware é oferecido com base em assinatura semanal e mensal. Pode ser adquirido usando ouro criptográfico e ouro da Razer. Além disso, eles mantiveram um canal separado intitulado ‘Myth Vestous & Marketplace’, onde os usuários deste ladrão fornecem depoimentos e anunciam a venda de contas comprometidas obtidas usando este ladrão. Atualmente, é fechado pelo Telegram.
Diferentes canais e grupos para o ladrão de mitos na distribuição do telegrama de malware, o malware é distribuído no selvagem disfarçado de software relacionado ao jogo. A Figura três mostra vários sites de jogos fraudulentos usados para espalhar o ladrão.
Em outro exemplo, descobrimos um ator que havia postado um link para um arquivo rar malicioso em um fórum on -line sob o disfarce de um software de trapaça chamado “DDTRACE KRX Ultimate Crack”. Para estabelecer credibilidade dentro da comunidade do fórum, o ator forneceu um vínculo Virustottal que mostrou detecção zero naquele momento.
O ladrão de mitos apresentou como uma rachadura de um software de trapaça em um fórum online. Recursos de acordo com nossa investigação, o malware evoluiu por um período de tempo. Inicialmente, quando distribuído como uma versão de teste gratuito, ele roubou apenas dados de aplicativos.
Quando passou para um modelo baseado em assinatura, foi vendido com funcionalidades adicionais, como exibir uma janela falsa, tirar capturas de tela, seqüestro de área de transferência etc. A equipe por trás desse malware continua refatorando e atualizando o código para garantir que o malware não tenha detecção no Virustotal.
Essas atualizações incluem alterar as bibliotecas usadas para exibir uma janela falsa, atualizando a comunicação com o servidor C2 etc. Nas seções a seguir, os pesquisadores detalharam várias funcionalidades mostradas pelo malware em suas diferentes versões.
Atualmente, o malware é uma amostra de 64 bits escrita em ferrugem contendo um carregador que descriptografa e executa o componente do roubo. Carregador com uma janela falsa Depois que o malware é baixado e executado com sucesso na máquina da vítima, o carregador exibe uma janela falsa para o usuário.
Essas janelas falsas são usadas para enganar a vítima a pensar que uma aplicação legítima é executada. A Figura cinco mostra algumas janelas falsas usadas pelo carregador. Ele usa o Rust Crate: Windows-gui ou egui ou nativo ou nativo para criar e exibir a janela falsa.
Algumas das janelas falsas exibidas pelo carregador. Enquanto a janela falsa é mostrada à vítima, o carregador descriptografa o componente do roubo usando a criptografia XOR ou AES, utilizando a caixa de ferrugem incluir CRIPT. Nas versões recentes, o carregador usa um algoritmo personalizado para descriptografar o componente do ladrão.
Conclusão
O recém-emergido Infotealer baseado em ferrugem, Myth, ladrão, continua a evoluir em suas versões, tornando progressivamente mais difícil para a detecção de soluções de endpoint. Seu uso de ofuscação de cordas, comunicação furtiva C2 e recursos como uma janela falsa refletem as técnicas avançadas de evasão dos atores de ameaças.
O desenvolvimento consistente e o aprimoramento do ladrão de mitos destacam a determinação dos atacantes em permanecer à frente das defesas de segurança, representando um risco sério e persistente para os usuários, principalmente os jogadores direcionados a sites de jogos fraudulentos.
