12-05-2025, 04:51 PM
Nombre: Mystic Stealer
Categoría: Infostealer (robo de credenciales y datos)
Fecha de descubrimiento: 2024 (muestras activas desde inicios de año aprox.)
Comportamiento (lo que hace y archivos que infecta):
Mitigación con GetOverX Shield v3.0.2.0 o superior:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
Principal Archivo Con Stealer: Kmspico, Kmaspico para Office 365, Kmspico para Windows 10 y 11 todas las ediciones, KmsPico para Windows Server 2016 a 2022, KmsPico para OneDrive.
Nombre del sosftware: KMSPico 10.2.0 incluye Mystic Stealer
-Se ha observado la distribución de Mystic Stealer empaquetado dentro de instaladores falsos de herramientas de activación como ‘KMSPico’, descargados desde sitios de cracks y descargas no oficiales.
No se trata de una versión oficial concreta del activador, sino de instaladores modificados por actores maliciosos cuyo nombre y número de versión pueden variar.
Categoría: Infostealer (robo de credenciales y datos)
Fecha de descubrimiento: 2024 (muestras activas desde inicios de año aprox.)
Comportamiento (lo que hace y archivos que infecta):
- Suele llegar por campañas de phishing, descargas de software crackeado o malvertising (anuncios maliciosos).
- Se centra en robar:
- Credenciales almacenadas en navegadores (usuario/contraseña, cookies, autofill).
- Información de clientes de correo, mensajería, FTP y VPN.
- Datos de wallets de criptomonedas y archivos específicos configurados por el atacante.
- Credenciales almacenadas en navegadores (usuario/contraseña, cookies, autofill).
- Recolecta también información del sistema (versión de OS, hardware, lista de procesos, programas instalados).
- No cifra archivos: su objetivo es la exfiltración silenciosa de información. Los “archivos afectados” son principalmente perfiles de navegador, bases de datos de credenciales y ficheros de configuración de aplicaciones, junto a paquetes temporales con la información robada.
- Copia del binario en carpetas de usuario (por ejemplo
,Code:%APPDATA%
) con nombres que imitan software legítimo.Code:%LOCALAPPDATA%
- Creación de claves de autoejecución en Registro (Run/RunOnce) o uso de accesos directos modificados.
- En algunas variantes, ejecución “one-shot” (roba todo en una sesión y se borra) para reducir huella, mientras otras mantienen persistencia y robo continuo.
Code:
9bdb51905b1eac04722007ffcc4a86f1bd84b618ca2610580e01acd21b98cdcbDescribe los pasos recomendados usando los módulos de GetOverX Shield:
- Antivirus:
Realizar escaneo completo centrado en perfiles de usuario y carpetas de descarga para detectar el binario de Mystic Stealer, sus droppers y archivos auxiliares.
- Firewall:
- Bloquear conexiones salientes hacia dominios/IPs asociados a C2 de stealers.
- Aplicar reglas de salida restrictivas en puestos sensibles (equipo contable, administración, servidores) permitiendo solo destinos corporativos legítimos.
- Bloquear conexiones salientes hacia dominios/IPs asociados a C2 de stealers.
- HIPS/EDR:
- Detectar accesos masivos a bases de datos de navegadores y archivos de wallets.
- Monitorizar proceso que empacan grandes cantidades de datos de usuario justo antes de iniciar conexiones salientes.
- Configurar respuesta automática para matar el proceso, bloquear el hash y registrar el incidente cuando se detecte este patrón de exfiltración.
- Detectar accesos masivos a bases de datos de navegadores y archivos de wallets.
- Sandbox:
- Analizar en Sandbox ejecutables descargados desde sitios de cracks, keygens o descargas “gratuitas”.
- Probar adjuntos de correo sospechosos que intenten instalar agentes de robo de información antes de dejarlos ejecutar en el entorno real.
- Analizar en Sandbox ejecutables descargados desde sitios de cracks, keygens o descargas “gratuitas”.
- Medidas posteriores al incidente:
- Forzar cambio de todas las credenciales que pudieran estar almacenadas en el equipo (correo, redes sociales, banca, VPN, paneles de hosting, wallets).
- Revisar actividad de cuentas financieras y de criptomonedas por transacciones no autorizadas.
- Revisar herramientas de administración remota y accesos a servicios corporativos para detectar uso indebido de credenciales robadas.
- Forzar cambio de todas las credenciales que pudieran estar almacenadas en el equipo (correo, redes sociales, banca, VPN, paneles de hosting, wallets).
Principal Archivo Con Stealer: Kmspico, Kmaspico para Office 365, Kmspico para Windows 10 y 11 todas las ediciones, KmsPico para Windows Server 2016 a 2022, KmsPico para OneDrive.
Nombre del sosftware: KMSPico 10.2.0 incluye Mystic Stealer
-Se ha observado la distribución de Mystic Stealer empaquetado dentro de instaladores falsos de herramientas de activación como ‘KMSPico’, descargados desde sitios de cracks y descargas no oficiales.
No se trata de una versión oficial concreta del activador, sino de instaladores modificados por actores maliciosos cuyo nombre y número de versión pueden variar.