mystic-stealer - RunkIntel

# Mystic Stealer - O Infostealer com Protocolo Binario RC4 e Ofuscação Polimorfica > **ATIVO | Infostealer MaaS | Windows | Global** - Mystic Stealer surgiu em abril de 2023 como um dos infostealers mais técnicamente sofisticados do mercado underground russo, comercializado a **US$ 250/mes**. Desenvolvido em C (cliente) com painel em Python, suporta **40 browsers e 70+ extensoes** de navegador. Usa **protocolo de comunicação binario com RC4** (ao inves de HTTP/JSON) e ofuscação polimorfica de strings que dificulta análise estática e detecção por AV. Dados sao enviados em tempo real sem gravacao em disco. > [!warning] Exfiltração sem Escrita em Disco > Uma caracteristica critica do Mystic e que todos os dados coletados sao transmitidos **diretamente para o C2 sem gravar arquivos temporarios** no host. Isso elimina o artefato mais comum detectado por EDRs durante análise de infostealers, tornando a detecção em tempo real essencial. ## Visão Geral **Mystic Stealer** e um infostealer MaaS anunciado em abril de 2023 em foruns underground russos com preco de US$ 250/mes. A combinacao de linguagem C de baixo nivel, protocolo customizado com RC4, e ofuscação polimorfica de strings (inspirada em ADVobfuscator) posiciona o Mystic como um stealer técnicamente superior a concorrentes mais simples. O painel C2 desenvolvido em **Python** oferece interface para operadores gerenciarem infeccoes, filtrar dados por pais/browser/carteira crypto, e exportar credenciais. O stealer inclui um mecanismo de **expiracao de amostra** baseado em data, impedindo que amostras antigas continuem operando mesmo que a chave C2 sejá recuperada. | Campo | Detalhe | |-------|---------| | **Tipo** | Infostealer MaaS | | **Linguagem** | C (cliente) + Python (painel C2) | | **Preco** | US$ 250/mes | | **Primeira observacao** | Abril 2023 | | **Status** | Ativo - novas versoes em desenvolvimento | | **Protocolo C2** | Binario customizado com RC4 (nao HTTP/JSON) | | **Escala** | 40 browsers + 70+ extensoes de browser | ## Visão Geral Técnica ### Protocolo Binario Customizado O diferencial tecnico central do Mystic e o uso de **protocolo binario proprietario com cifra RC4** para comunicação C2 ([[t1573-001-symmetric-cryptography|T1573.001]]): - Ao inves de HTTP POST com JSON (padrao em stealers), usa frames binarios customizados - Dados de cabecalho da mensagem incluem: versao do protocolo, tipo de dado, tamanho do payload - Cifrado com RC4 usando chave única por sessao derivada do hardware da vitima - Dificulta análise de trafego de rede por ferramentas IDS/IPS que inspecionam apenas HTTP ### Ofuscação Polimorfica de Strings O Mystic implementa ofuscação de strings similar ao **ADVobfuscator** ([[t1027-obfuscated-files|T1027]]): - Strings criticas (nomes de arquivos, paths, chaves de registro) sao cifradas em tempo de compilacao - Decifradas apenas em tempo de execução imediatamente antes do uso - Cada compilacao gera ofuscacao diferente - dificultando correlação de amostras por hash de string ### Coleta de Dados **Browsers e sessoes:** - 40 browsers Chromium-based: Chrome, Edge, Brave, Opera, Vivaldi e derivados ([[t1555-003-credentials-from-browsers|T1555.003]]) - Firefox e derivados: credenciais do perfil sqlite - 70+ extensoes de browser: carteiras crypto (MetaMask, Phantom, Coinbase), 2FA apps - Session cookies para account takeover ([[t1539-steal-web-session-cookie|T1539]]) **Aplicativos e dados:** - Clientes FTP: FileZilla, WinSCP - Clientes de email: Thunderbird, Outlook - Discord tokens e sessoes Telegram - Carteiras crypto desktop: Exodus, Atomic, Electrum, Ledger Live **Reconhecimento:** - Informacoes do sistema: hostname, usuario, dominio, hardware ID ([[t1082-system-information-discovery|T1082]], [[t1033-system-owner-user-discovery|T1033]]) - Screenshot do desktop - Verificação de expiracao de amostra contra timestamp embutido ### Cadeia de Infecção ```mermaid graph TB A["📦 Distribuição via crackers Software pirata / cracks Malvertising Google Ads"] --> B["⚙️ Execução do dropper NSIS/InnoSetup wrapper sem UAC trigger"] B --> C["🔓 Mystic carrega Strings decifradas runtime Ofuscação polimorfica"] C --> D["🔍 Fingerprint do host Hardware ID único Verifica expiracao da amostra"] D --> E{"Amostra expirada?"} E -->|"Nao"| F["🍪 Coleta browsers 40 Chromium + Firefox 70+ extensoes crypto"] E -->|"Sim"| Z["❌ Termina silenciosamente"] F --> G["💰 Coleta carteiras Exodus / Atomic MetaMask / Phantom"] G --> H["📡 Exfiltração em tempo real Protocolo binario RC4 Sem escrita em disco"] H --> I["🖥️ Painel Python C2 Dados organizados Export por pais/tipo"] ``` ## Timeline ```mermaid timeline title Mystic Stealer - Evolução 2023-04 : Lancamento no foro underground russo : US$250/mes - protocolo binario RC4 2023-05 : Cyfirma publica primeira análise técnica : Suporte a 40 browsers documentado 2023-06 : InQuest e Zscaler analisam amostras : 70+ extensoes de browser confirmadas 2023-07 : Nova versao com loader integrado : Capacidade de download de payloads adicionais 2023-09 : Aumento de campanhas via traffers teams : Distribuição em LATAM documentada 2024 : Continua ativo com atualizacoes regulares : Deteccoes atualizadas por EDRs principais ``` ## TTPs MITRE ATT&CK | ID | Técnica | Uso | |----|---------|-----| | [[t1204-002-malicious-file\|T1204.002]] | Malicious File | Usuario executa crack/installer falso | | [[t1027-obfuscated-files\|T1027]] | Obfuscated Files | Ofuscação polimorfica de strings estilo ADVobfuscator | | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Deobfuscaté/Decode Files | Strings decifradas em runtime antes do uso | | [[t1555-003-credentials-from-browsers\|T1555.003]] | Credentials from Browsers | 40 browsers incluindo Chromium e Firefox | | [[t1539-steal-web-session-cookie\|T1539]] | Steal Web Session Cookie | 70+ extensoes de browser com foco em carteiras crypto | | [[t1082-system-information-discovery\|T1082]] | System Information Discovery | Hardware ID, OS version, dominio, usuario | | [[t1033-system-owner-user-discovery\|T1033]] | System Owner/User Discovery | Nome de usuario e dominio para fingerprint | | [[t1573-001-symmetric-cryptography\|T1573.001]] | Symmetric Cryptography | Protocolo binario customizado com RC4 para C2 | | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltration Over C2 Channel | Dados enviados diretamente pela conexão C2 sem disco | ## Capacidades por Categoria | Categoria | Detalhes | |-----------|---------| | Chromium browsers | Chrome, Edge, Brave, Opera e 36 outros - senhas, cookies, autofill | | Firefox-based | Firefox, Waterfox, LibreWolf - credenciais sqlite | | Extensoes crypto | MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Keplr, 65+ outros | | Carteiras desktop | Exodus, Atomic, Electrum, Ledger Live, Trezor Suite | | Comúnicação | Discord tokens, Telegram sessao, WinSCP configs | | Mecanismo anti-análise | Expiracao por timestamp embutido na amostra | ## Impacto no Brasil / LATAM Mystic Stealer tem presenca crescente no Brasil e LATAM desde meados de 2023: - **Mercado cripto brasileiro**: Com o Brasil sendo um dos maiores mercados de criptomoedas da LATAM, as 70+ extensoes de carteiras do Mystic tornam vitimas brasileiras alvos de alto valor - **Distribuição via pirataria**: O vetor de software pirata e particularmente eficaz no Brasil, onde a penetracao de softwares crackeados em empresas e alta - **Exchange credentials**: Credenciais de corretoras brasileiras (Mercado Bitcoin, Foxbit) aparecem em logs de Mystic vendidos em mercados underground > [!danger] Sem Artefatos em Disco > A arquitetura sem escrita em disco do Mystic desafia soluções de segurança baseadas exclusivamente em análise de arquivos. Organizacoes que dependem apenas de antivirus tradicional sao mais vulneraveis. EDR com análise comportamental de memoria e captura de trafego de rede sao necessários para detecção eficaz. ## Detecção e Caca a Ameaças ### Indicadores Comportamentais - Processo C acessando diretamente SQLite de browsers fora do processo do browser - Conexão de rede para IP externo imediatamente após leitura de arquivos de credenciais - Leitura de `%LOCALAPPDATA%\{Browser}\User Data\Login Data` por processo nao-browser - Acesso a arquivos de extensoes de crypto em `%APPDATA%\{extensao}\` - Processo com alta entropia e sem imports de DLL do sistema (caracteristica de binario C estatico) ### KQL - Microsoft Sentinel ```kusto // Mystic: leitura de SQLite de browsers por processo suspeito DeviceFileEvents | where FileName in~ ("Login Data", "Cookies", "Web Data", "key4.db", "logins.json") | where InitiatingProcessFileName !in~ ( "chrome.exe", "firefox.exe", "msedge.exe", "brave.exe", "opera.exe", "GoogleUpdaté.exe", "updater.exe" ) | where FolderPath has_any ("Chrome", "Firefox", "Edge", "Brave", "Opera") | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessFolderPath, FileName, FolderPath | sort by Timestamp desc ``` ```kusto // Mystic: conexão de rede logo após acesso a arquivos de browser let browser_access = DeviceFileEvents | where FileName in~ ("Login Data", "Cookies") | where InitiatingProcessFileName !in~ ("chrome.exe", "firefox.exe", "msedge.exe") | project DeviceId, PID = InitiatingProcessId, AccessTime = Timestamp; DeviceNetworkEvents | join kind=inner browser_access on DeviceId | where Timestamp between (AccessTime .. (AccessTime + 30s)) | where InitiatingProcessId == PID | project Timestamp, DeviceName, InitiatingProcessFileName, RemoteIP, RemotePort ``` ## Referências - [Cyfirma - Mystic Stealer Analysis (2023)](https://www.cyfirma.com/outofband/mystic-stealer/) - [InQuest - Mystic Stealer Technical Analysis](https://inquest.net/blog/2023/05/12/mystic-stealer) - [Zscaler ThreatLabz - Mystic Stealer](https://www.zscaler.com/blogs/security-research/mystic-stealer) - [ANY.RUN - Mystic Stealer Samples](https://any.run/malware-trends/mystic-stealer) - [ThreatFox - Mystic IoCs](https://threatfox.abuse.ch/browse/malware/win.mystic_stealer/)