En abril de 2023 dio comienzo con una gran demanda la campaña de promoción del Malware as a Service: Mystic Stealer en distintos foros de hacking. Este malware especializado en el robo de información se ha vuelto popular por su amplio alcance, además de tener colaboradores activos quienes lo han ido mejorando de versión en pocos meses.
Actualmente está dirigido a 40 navegadores web basados en Chromium y Mozilla, 70 extensiones de navegador, 21 aplicaciones de criptomonedas, 9 MFA y programas de administración de contraseñas, 55 extensiones de navegador de criptomonedas, credenciales de Steam y Telegram, entre otros.
Mystic Stealer puede afectar a todas las versiones de Windows, desde XP hasta 11.
Principales características
Este malware ha demostrado tener un proceso de mejora eficiente, con al menos dos actualizaciones en menos de dos meses desde su aparición en abril de 2023. Lo anterior, sumado al método de venta MaaS, ha logrado que el uso de este malware se haya masificado rápidamente, contando con un estimado de 50 servidores de Mando y Control (conocidos también como C2) operando activamente, según investigaciones recientes.
Su principal característica es que no utiliza espacio en disco, sino que su proceso únicamente prevalece en la memoria del dispositivo afectado. Su ejecución se vale de llamadas del sistema para comprometer objetivos, asegurando que no quede ningún rastro en el disco duro durante el proceso de exfiltración de datos, dificultando el proceso de detección por parte de soluciones de Antivirus.
Una vez que se identifican los datos a robar, el malware los comprime, cifra y transmite. No se requiere la autenticación del cliente; los datos se transmiten a medida que se reciben.
Impacto cibernético
Mystic Stealer presenta un riesgo significativo a la confidencialidad de la información para las empresas. El impacto incluye la violación de datos, como información financiera, información clasificada, identificación personal, propiedad intelectual, y en consecuencia, pérdidas financieras y daños a la reputación.
Los actores maliciosos pueden vender la información en sitios de la dark web, o utilizar estos datos para generar otro tipo de ilícitos, como robo de cuentas financieras, criptomonedas, robo de información de terceros, entre otros.
Prevención y mitigación
Es fundamental encontrar un equilibrio adecuado para prever ataques cibernéticos. Una estrategia de ciberdefensa integral nos puede ayudar a entender cuál es el ajuste que cada organización debe adoptar para prevenir y mitigar este y otros tipos de ataque. Estrategias como ZeroTrust deben ser abordadas desde este enfoque para permitir que la continuidad operacional de la empresa no se vea deteriorada por una gestión de ciberseguridad altamente restrictiva.
Considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y posean conciencia de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.
IoC de Mystic Stealer
A continuación compartimos algunos indicadores de compromiso asociados a registros de este ataque para que puedan ser cargados en plataformas de seguridad:
| indicador | tipo | Observaciones |
| 104.21.27.68 | IP | Servidor C2 |
| 104.21.38.108 | IP | Servidor C2 |
| 104.21.52.152 | IP | Servidor C2 |
| 104.21.60.13 | IP | Servidor C2 |
| 104.21.63.115 | IP | Servidor C2 |
| 104.21.72.247 | IP | Servidor C2 |
| 104.21.74.252 | IP | Servidor C2 |
| 104.21.76.230 | IP | Servidor C2 |
| 104.21.87.169 | IP | Servidor C2 |
| 104.21.88.238 | IP | Servidor C2 |
| 7c185697d3d3a544ca0cef987c27e46b20997c7ef69959c720a8d2e8a03cd5dc | SHA256 | Muestra del malware |
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
Fuentes
https://heimdalsecurity.com/blog/new-stealer-malware-on-the-rise-mystic-stealer/
https://www.cyfirma.com/outofband/mystic-stealer-evolving-stealth-malware/
https://thehackernews.com/2023/06/new-mystic-stealer-malware-targets-40.html
https://www.zscaler.com/blogs/security-research/mystic-stealer
https://www.securityweek.com/new-information-stealer-mystic-stealer-rising-to-fame/