mystic-stealer-2023

# Mystic Stealer > [!medium] Infostealer MaaS de Alto Nível - 40 Navegadores, 70 Extensões, RC4 Customizado > Mystic Stealer é um infostealer comercializado como MaaS desde abril de 2023 em fóruns de cibercrime russos por US$150/mês. Desenvolvido em C com painel em Python, destaca-se por protocolos C2 criptografados com RC4, anti-análise avançado, suporte a 40 navegadores, 70+ extensões de criptomoeda e expiração automática de amostras para dificultar análise forense. ## Visão Geral Mystic Stealer é um infostealer de nova geração anunciado em fóruns de cibercrime de língua russa em abril de 2023. Disponível no modelo MaaS (Malware-as-a-Service) por US$150 por mês ou US$390 por três meses, o Mystic se posicionou rapidamente como alternativa sofisticada a infostealers estabelecidos como [[s1240-redline-stealer|RedLine]] e [[s1148-raccoon-stealer|Raccoon Stealer]]. O malware é desenvolvido em C (cliente de roubo) com painel de controle implementado em Python, e se comúnica com o servidor C2 via protocolo binário proprietário criptografado com RC4 sobre TCP. Esta abordagem de protocolo customizado (ao contrário de HTTP simples usado por muitos infostealers) dificulta detecção por ferramentas de inspeção de tráfego de rede. Uma das características mais sofisticadas do Mystic é a ausência de escrita em disco: o malware realiza todas as operações de roubo em memória e envia os dados diretamente ao servidor C2 sem criar arquivos intermediários. Combinado com a verificação de ambiente virtual (anti-VM) e a expiração automática de amostras geradas (binaries com data de expiração configurada pelo operador), o Mystic foi projetado explicitamente para dificultar análise forense e por pesquisadores de segurança. O Mystic suporta 40+ navegadores baseados em Chromium e Firefox para roubo de credenciais, cookies e dados de autopreenchimento. Para carteiras de criptomoeda, suporta 70+ extensões de navegador e carteiras desktop. O malware também captura screenshots do desktop no momento da infecção e coleta informações detalhadas do sistema. Para o Brasil, onde o ecossistema de cibercrime tem crescente adoção de infostealers modernos, o Mystic Stealer representa uma evolução relevante: operadores brasileiros têm acesso ao mesmo arsenal que grupos criminosos mais sofisticados globalmente. ## Capacidades de Roubo | Categoria | Detalhes | |-----------|----------| | **Navegadores** | 40+ Chrome, Firefox, Edge, Opera e derivados - login, cookies, autopreenchimento, cartões | | **Extensões cripto** | 70+ MetaMask, Phantom, Keplr e outros - seeds e chaves privadas | | **Carteiras desktop** | Exodus, Electrum, Atomic Wallet e outros - wallet.dat e dados de configuração | | **Screenshots** | Captura imediata do desktop no momento da infecção | | **Sistema** | Informações de hardware, SO, processos, instalados | | **Steam** | Credenciais de sessão Steam para revenda | | **Telegram** | Arquivos de sessão tdata para acesso à conta | ## Como Funciona O Mystic Stealer implementa múltiplas técnicas de anti-análise e evasão: **Anti-análise e evasão:** - Verificação de ambiente virtual: detecta VMware, VirtualBox, Hyper-V por CPUID e RDTSC - Expiração automática: cada amostra gerada tem timestamp de expiração; após a data, encerra execução - Sem escrita em disco: dados roubados enviados diretamente ao C2 sem arquivos intermediários - Ofuscação de strings: identificadores e strings sensíveis ofuscados em tempo de compilação ```mermaid graph TB A["📥 Entrega Phishing / cracked software YouTube / redes sociais"] --> B["🔍 Anti-VM check VMware/VBox/HyperV encerra se sandbox"] B --> C["⏰ Expiração Timestamp válido? encerra se expirado"] C --> D["🌐 Roubo de navegadores 40+ Chrome/Firefox credenciais/cookies"] D --> E["💰 Roubo cripto 70+ extensões carteiras desktop"] E --> F["📸 Screenshot Captura desktop + info do sistema"] F --> G["📦 C2 RC4 Protocolo binário criptografado TCP"] G --> H["📊 Painel Python Operador recebe logs e dados"] ``` *Relacionado: [[s1240-redline-stealer|RedLine]] · [[s1148-raccoon-stealer|Raccoon Stealer]] · [[vidar-stealer|Vidar]]* ## TTPs MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1555.003 | Credentials from Web Browsers | Coleta | 40+ navegadores - login data, cookies, autopreenchimento | | T1539 | Steal Web Session Cookie | Coleta | Cookies de sessão para account takeover | | T1082 | System Information Discovery | Reconhecimento | Hardware, SO, processos, softwares instalados | | T1027 | Obfuscated Files | Evasão | Strings ofuscadas, anti-análise em compilação | | T1497 | Virtualization/Sandbox Evasion | Evasão | Detecção de VM via CPUID e RDTSC | | T1547.001 | Registry Run Keys | Persistência | Opcional: persistência via chave Run | | T1005 | Data from Local System | Coleta | Arquivos de carteiras cripto, Telegram tdata | | T1113 | Screen Capture | Coleta | Screenshot do desktop no momento da infecção | ## Posicionamento no Mercado MaaS ```mermaid graph TB subgraph Infostealers Estabelecidos 2022 RL["RedLine Stealer USD 150-200/mês Dominante em 2022"] RAC["Raccoon Stealer v2 USD 200/mês Retornou após pausa"] end subgraph Novos Players 2023 MYS["Mystic Stealer USD 150/mês Anti-VM avançado"] RIS["RisePro USD 150/mês Novo entrante"] end RL --> MYS RAC --> MYS ``` *Comparação: [[s1240-redline-stealer|RedLine]] · [[s1148-raccoon-stealer|Raccoon]] · [[vidar-stealer|Vidar]]* ## Relevância Brasil e LATAM O Mystic Stealer é relevante para o Brasil porque: 1. **Acesso universal via MaaS**: Operadores brasileiros podem alugar o Mystic com infraestrutura completa por US$150/mês 2. **Carteiras cripto**: O Brasil tem um dos maiores mercados de criptomoedas da América Latina - alvos de alto valor para extração de assets via carteiras comprometidas 3. **Distribuição via conteúdo pirata**: O vetor mais comum de entrega é software crackeado e conteúdo pirata - mercado grande no Brasil 4. **Telegram como alvo**: A extração de sessões Telegram (tdata) permite acesso a grupos de investimento, grupos corporativos e canais privados - alto valor de inteligência ## Detecção e Defesa **Indicadores comportamentais:** - Processo novo estabelecendo conexão TCP de longa duração a IP externo em porta não-padrão - Acesso ao banco de dados de senhas do Chrome (`Login Data`) por processo diferente do Chrome - Acesso a diretório `%AppData%\MetaMask` ou similar por processo não-browser - Ausência de arquivos temporários durante o roubo - operação 100% em memória dificulta detecção por AV simples - Processo encerrado abruptamente pouco após execução (amostra expirada ou ambiente virtual detectado) **Ferramentas de detecção:** - Regras YARA para strings ofuscadas características do Mystic - Sigma: Acesso a `Login Data` do Chrome por processos não-browser - Monitorar conexões TCP saindo para IPs sem resolução DNS clara em portas acima de 3000 **Mitigações:** - MFA em todas as contas críticas - cookies roubados podem ser inválidos com MFA - Carteiras hardware (Ledger/Trezor) para criptomoedas de alto valor - imunes a extração de extensão - [[m1049-antivirus-antimalware|EDR]] com análise de comportamento de processo em memória ## Referências - [1](https://www.zscaler.com/blogs/security-research/mystic-stealer) Zscaler ThreatLabz - Mystic Stealer Analysis (2023) - [2](https://cyberint.com/blog/research/mystic-stealer-a-newly-identified-malware-sample/) Cyberint - Mystic Stealer: Newly Identified Sample (2023) - [3](https://malpedia.caad.fkie.fraunhofer.de/details/win.mystic_stealer) Malpedia - Mystic Stealer - [4](https://www.bleepingcomputer.com/news/security/new-mystic-stealer-malware-targets-40-web-browsers-and-70-extensions/) BleepingComputer - Mystic Stealer Targets 40 Browsers (2023) - [5](https://www.infostealers.com/article/mystic-stealer/) InfStealers - Mystic Stealer Deep Dive (2023)