Peneliti cybersecurity telah menjelaskan pencuri informasi berbasis karat yang sebelumnya tidak berdokumen yang disebut Myth Stealer yang sedang diperbanyak melalui situs web game yang curang.
“Setelah dieksekusi, malware menampilkan jendela palsu agar terlihat sah sambil secara bersamaan mendekripsi dan melaksanakan kode jahat di latar belakang,” peneliti keamanan Trellix Niranjan Hegde, kata Vasantha Lakshmanan Ambasankar, dan Adarsh S mengatakan dalam sebuah analisis.
Pencuri, yang awalnya dipasarkan di telegram secara gratis di bawah beta pada akhir Desember 2024, sejak itu beralih ke model malware-as-a-service (MAAS). Dilengkapi untuk mencuri kata sandi, cookie, dan informasi otomatis dari browser berbasis kromium dan tokek, seperti Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, dan Mozilla Firefox.
Operator malware telah ditemukan mempertahankan sejumlah saluran telegram untuk mengiklankan penjualan akun yang dikompromikan serta memberikan kesaksian layanan mereka. Saluran -saluran ini telah ditutup oleh telegram.
Bukti menunjukkan bahwa Myth Stealer didistribusikan melalui situs web palsu, termasuk satu yang di -host di blogger Google, menawarkan berbagai video game dengan dalih menguji mereka. Perlu dicatat bahwa halaman blogger yang hampir identik telah digunakan untuk mengirimkan malware pencuri lain yang dikenal sebagai Ageostealer, seperti yang diungkapkan oleh Flashpoint pada April 2025.
TRELLIX mengatakan juga menemukan malware yang didistribusikan sebagai versi retak dari perangkat lunak curang game yang disebut DDRACE di forum online, menyoroti berbagai kendaraan distribusi.
Terlepas dari vektor akses awal, loader yang diunduh menampilkan jendela pengaturan palsu kepada pengguna untuk menipu mereka agar berpikir bahwa aplikasi yang sah dijalankan. Di latar belakang, loader mendekripsi dan meluncurkan komponen pencuri.
Dalam file DLL 64-bit, pencuri mencoba untuk menghentikan proses berjalan yang terkait dengan berbagai browser web sebelum mencuri data dan mengekspiltrasi ke server jarak jauh, atau, dalam beberapa kasus, ke webhook perselisihan.
“Ini juga berisi teknik anti-analisis seperti kebingungan string dan pemeriksaan sistem menggunakan nama file dan nama pengguna,” kata para peneliti. “Penulis malware secara teratur memperbarui kode pencuri untuk menghindari deteksi AV dan memperkenalkan fungsionalitas tambahan seperti kemampuan menangkap layar dan pembajakan clipboard.”
Pencuri mitos sama sekali tidak sendirian ketika menggunakan umpan cheat game untuk mendistribusikan malware. Pekan lalu, Palo Alto Networks Unit 42 menjelaskan malware Windows lain yang disebut blitz yang tersebar melalui cheat permainan backdoored dan installer retak untuk program yang sah.
Terutama diperbanyak melalui saluran telegram yang dikendalikan oleh penyerang, Blitz terdiri dari dua tahap: pengunduh yang bertanggung jawab atas muatan bot, yang dirancang untuk mencatat penekanan tombol, mengambil tangkapan layar, mengunduh/mengunggah file, dan menyuntikkan kode. Ini juga dilengkapi dengan fungsi penolakan layanan (DOS) terhadap server web dan menjatuhkan penambang XMRIG.
Cheat backdoored melakukan pemeriksaan anti-sandbox sebelum mengambil tahap malware berikutnya, dengan pengunduh hanya berjalan ketika korban masuk lagi setelah keluar atau reboot. Pengunduh juga dikonfigurasi untuk menjalankan cek anti-sandbox yang sama sebelum menjatuhkan muatan bot.
Yang penting tentang rantai serangan adalah bahwa Blitz Bot dan XMR Cryptocurrency Miner Payloads, bersama dengan komponen infrastruktur perintah-dan-kontrol (C2), diselenggarakan dalam ruang wajah yang memeluk. Hugging Face telah mengunci akun pengguna setelah pengungkapan yang bertanggung jawab.
Pada akhir April 2025, Blitz diperkirakan telah mengumpulkan 289 infeksi di 26 negara, dipimpin oleh Rusia, Ukraina, Belarus, dan Kazakhstan. Bulan lalu, aktor ancaman di belakang Blitz mengklaim di saluran telegram mereka bahwa mereka menggantung sepatu setelah mereka tampaknya menemukan bahwa cheat itu memiliki trojan yang tertanam di dalamnya. Mereka juga menyediakan alat penghapusan untuk menyeka malware dari sistem korban.
“Orang di balik malware Blitz tampaknya adalah pembicara Rusia yang menggunakan moniker SW1ZZX di platform media sosial,” kata Unit 42. “Operator malware ini kemungkinan adalah pengembang Blitz.”
Perkembangan ini datang ketika Cyfirma merinci Remote Access Trojan (tikus) berbasis C#baru bernama Duplexspy Rat yang dilengkapi dengan kemampuan luas untuk pengawasan, kegigihan, dan kontrol sistem. Itu diterbitkan di GitHub pada bulan April 2025, mengklaim itu dimaksudkan untuk “demonstrasi pendidikan dan etika saja.”
 |
|
Rantai infeksi blitz |
“Ini membangun persistensi melalui replikasi folder startup dan modifikasi Registry Windows sambil menggunakan eksekusi tanpa filless dan teknik eskalasi hak istimewa untuk siluman,” kata perusahaan itu. “Fitur utama termasuk keylogging, penangkapan layar, webcam/mata-mata audio, shell jarak jauh, dan fungsi anti-analisis.”
Selain menampilkan kemampuan untuk memainkan suara audio atau sistem dari jarak jauh di mesin korban, Duplexspy Rat menggabungkan modul kontrol daya yang memungkinkan penyerang untuk mengeksekusi perintah tingkat sistem dari jarak jauh pada host yang dikompromikan, seperti shutdown, restart, logout, dan tidur.
“[The malware] menegakkan layar kunci palsu dengan menampilkan gambar yang disediakan penyerang (base64-encoded) di layar penuh sambil menonaktifkan interaksi pengguna, “tambah Cyfirma.” Ini mencegah penutupan kecuali secara eksplisit diizinkan, mensimulasikan pembekuan sistem atau pembekuan tebusan untuk memanipulasi atau memeras korban. “
Temuan ini juga mengikuti laporan dari teknologi positif bahwa beberapa aktor ancaman, termasuk TA558, Blind Eagle, Aggah (alias Hagga), Faseshifter (alias Angry Likho, Sticky Werewolf, dan UAC-0050), UAC-0050, dan phantomcontrol, menggunakan crypter-a-s-service.
Rantai serangan menggunakan crypter dan alat telah menargetkan Amerika Serikat, Eropa Timur (termasuk Rusia), dan Amerika Latin. Salah satu platform tempat crypter dijual adalah nitrosoftwares[.]com, yang juga menawarkan berbagai alat, termasuk eksploitasi, crypter, penebang, dan gunting cryptocurrency, antara lain.
