Cybersecurity-onderzoekers hebben licht geworpen op een eerder niet-papieren op roest gebaseerde informatie-stealer genaamd Myth Stealer die wordt gepropageerd via frauduleuze gamingwebsites.
“Na uitvoering toont de malware een nep -venster om legitiem te lijken en tegelijkertijd kwaadaardige code op de achtergrond te decoderen en uit te voeren,” zei Trellix beveiligingsonderzoekers Niranjan Hegde, Vasantha Lakshmanan Ambasankar, en Adarsh S zei in een analyse.
De Stealer, aanvankelijk op de markt gebracht op Telegram gratis onder Beta eind december 2024, is sindsdien overgestapt op een malware-as-a-service (MAAS) -model. Het is uitgerust om wachtwoorden, cookies en autofillinformatie te stelen van zowel gebaseerde browsers van chroom als gekko, zoals Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi en Mozilla Firefox.
De exploitanten van de malware zijn gebleken met het onderhouden van een aantal telegramkanalen om adverteren voor de verkoop van gecompromitteerde accounts en getuigenissen van hun service te geven. Deze kanalen zijn gesloten door Telegram.
Bewijs laat zien dat Myth Stealer wordt gedistribueerd via nepwebsites, waaronder een die op de blogger van Google wordt gehost, die verschillende videogames aanbiedt onder het mom van het testen. Het is vermeldenswaard dat een bijna identieke blogger-pagina is gebruikt om een andere Stealer-malware te leveren die bekend staat als AgeoStealer, zoals bekendgemaakt door Flashpoint in april 2025.
Trellix zei dat het ook ontdekte dat de malware werd gedistribueerd als een gekraakte versie van een game -cheatsoftware genaamd DDRACE in een online forum, met de nadruk op de talloze distributievoertuigen.
Ongeacht de initiële toegangsvector geeft de gedownloade lader een nep -setupvenster weer aan de gebruiker om ze te misleiden door te denken dat een legitieme applicatie wordt uitgevoerd. Op de achtergrond decodeert de lader en start de Stealer -component.
In een 64-bit DLL-bestand probeert de Stealer het beëindigen van lopende processen die zijn geassocieerd met verschillende webbrowsers te beëindigen voordat de gegevens worden gestolen en deze naar een externe server worden geëxfiltreerd, of, in sommige gevallen, naar een Discord-webhook.
“Het bevat ook anti-analysetechnieken zoals stringverdieping en systeemcontroles met behulp van bestandsnamen en gebruikersnamen,” zeiden de onderzoekers. “De malware -auteurs werken regelmatig Stealer -code bij om AV -detectie te ontwijken en extra functionaliteit te introduceren, zoals schermopname -mogelijkheden en kapbordkaping.”

Mythe Stealer is zeker niet alleen als het gaat om het gebruik van game -cheat -kunstaas om malware te distribueren. Vorige week werpen Palo Alto Networks Unit 42 licht op een andere Windows -malware die Blitz wordt genoemd die wordt verspreid door braxe -cheats met achterdeur en gebarsten installateurs voor legitieme programma’s.
Blitz, voornamelijk gepropageerd via een door aanvallers gecontroleerd telegramkanaal en bestaat uit twee fasen: een downloader die verantwoordelijk is voor een BOT-payload, die is ontworpen om toetsaanslagen te loggen, screenshots te maken, bestanden te downloaden/uploaden en code te injecteren. Het wordt ook uitgerust met een Denial-of-Service (DOS) -functie tegen webservers en laat een XMRIG-mijnwerker vallen.
De Backdoored-cheat voert anti-Sandbox-controles uit voordat hij de volgende fase van de malware opneemt, waarbij de downloader alleen wordt uitgevoerd wanneer het slachtoffer zich opnieuw aanmeldt na het uitloggen of een herstart. De downloader is ook geconfigureerd om dezelfde anti-sandbox-cheques uit te voeren voordat de BOT-payload wordt laten vallen.
Wat opmerkelijk is aan de aanvalsketen is dat de blitz bot- en XMR cryptocurrency miner payloads, samen met componenten van zijn command-and-control (C2) -infrastructuur, worden gehost in een knuffelende gezichtsruimte. Knuffelen Face heeft het gebruikersaccount vergrendeld na verantwoorde openbaarmaking.
Vanaf eind april 2025 heeft Blitz naar schatting 289 infecties verzameld in 26 landen, geleid door Rusland, Oekraïne, Wit -Rusland en Kazachstan. Vorige maand beweerde de dreigingsacteur achter Blitz op hun Telegram -kanaal dat ze de laarzen ophangen nadat ze blijkbaar ontdekten dat de cheat een Trojan had ingebed. Ze gaven ook een verwijderingsinstrument om de malware van slachtoffersystemen af te vegen.
“De persoon achter Blitz Malware lijkt een Russische spreker te zijn die de naam SW1ZZX op sociale mediaplatforms gebruikt,” zei Unit 42. “Deze malware -operator is waarschijnlijk de ontwikkelaar van Blitz.”
De ontwikkeling komt als Cyfirma een nieuwe C#-gebaseerde externe toegang Trojan (rat) met de naam Duplexspy Rat beschrijft die wordt geleverd met uitgebreide mogelijkheden voor bewaking, persistentie en systeemcontrole. Het werd gepubliceerd op GitHub in april 2025 en beweerde dat het bedoeld is voor ‘educatieve en ethische demonstratie’.
“Het stelt persistentie vast via opstartmapreplicatie en Windows Registry Wijzigingen terwijl het gebruik van file -oninvoering en escalatietechnieken voor stealth,” zei het bedrijf. “Belangrijkste kenmerken zijn keylogging, schermopname, webcam/audio-spionage, externe shell en anti-analysefuncties.”
Naast het bevatten van de mogelijkheid om op afstand audio of systeemgeluiden op de machine van het slachtoffer te spelen, neemt Duplexspy Rat een vermogenscontrolemodule op die het voor de aanvaller mogelijk maakt om op afstand opdrachten op systeemniveau op de gecompromitteerde host uit te voeren, zoals afsluiting, herstart, inloggen en slaap.
“(De malware) handhaaft een nep vergrendelingsscherm door een door aanvallers geleverde afbeelding (basis64-gecodeerd) op volledig scherm weer te geven en tegelijkertijd de interactie van de gebruiker uit te schakelen,” voegde Cyfirma toe. “Het voorkomt sluiting tenzij expliciet toegestaan, het simuleren van een systeem bevriezen of losgeld om het slachtoffer te manipuleren of af te persen.”
De bevindingen volgen ook een rapport van positieve technologieën die meerdere dreigingsacteurs, waaronder TA558, Blind Eagle, Aggah (AKA Hagga), Phaseshifters (aka boze Likho, Sticky Werewolf en UAC-0050), UAC-0050 en Phantomcontrol, een crypter-AS-AS-AS-AS-Service-loader gebruiken.
Aanvalketens met behulp van crypters en hulpmiddelen hebben zich gericht op de Verenigde Staten, Oost -Europa (inclusief Rusland) en Latijns -Amerika. Een platform waar de crypter wordt verkocht, is Nitrosoftwares (.) Com, die ook verschillende tools biedt, waaronder exploits, crypters, loggers en cryptocurrency -clippers, onder andere.