Threat Database Malware سارق المريخ

سارق المريخ

يتم تقديم برنامج ضار قوي للمخبر يدعى Mars Stealer لمجرمي الإنترنت في منتديات القراصنة الناطقين بالروسية. يمكن لممثل التهديد إما شراء الإصدار الأساسي من Mars Stealer مقابل 140 دولارًا أو اختيار دفع 20 دولارًا إضافيًا والحصول على البديل الموسع. بفضل التحليل الذي أجراه الباحث الأمني @ 3xp0rt ، تم تحديد أن Mars Stealer ، في الغالب ، هو إعادة تصميم لبرنامج ضار مشابه يُدعى Oski تم إيقاف تطويره في منتصف عام 2020بشكل مفاجئ.

وظائف التهديد

يمكن لـ Mars Stealer استهداف أكثر من 100 تطبيق مختلف والحصول على معلومات خاصة حساسة منها. أولاً ، يقوم المنتزع المخصص بجلب تكوين التهديد من خادم الأوامر والتحكم (C2 ، C&C) للعملية. بعد ذلك ، سيقوم Mars Stealer باستخراج البيانات من أكثر متصفحات الويب شيوعًا وتطبيقات 2FA (المصادقة الثنائية) وامتدادات التشفير ومحافظ التشفير.

من بين التطبيقات المتأثرةالتراخيص هي Chrome و Internet Explorer و Edge (إصدار Chromium) و Opera و Sputnik Browser و Vivaldi و Brave و Firefox و Authenticator و GAuth Authenticator و MetaMAsk و Binance و Coinbase Wallet و Coinomi و Bitcoin Core ومشتقاته و Ethereum و Electrum وغيرها الكثير . يتم أيضًا التقاط معلومات النظام الإضافية والتسلل إليها من خلال التهديد. تتضمن هذه التفاصيل عنوان IP ، والبلد ، والتوقيت المحلي والمنطقة الزمنية ، واللغة ، وتخطيط لوحة المفاتيح ، واسم المستخدم ، واسم كمبيوتر المجال ، ومعرف الجهاز ، والمعرف الفريد العمومي ، والبرامج المثبتة على الجهاز ، وما إلى ذلك.

تقنيات مكافحة الاكتشاف والتهرب

تم تصميم Mars Stealer لتقليل أثره على الأجهزة المصابة. التهديد مزود بممسحة مخصصة يمكن تفعيلها بعد جمع البيانات المستهدفة أو عندما يقرر المهاجمون القيام بذلك. لجعل الاكتشاف أكثر صعوبة ، تستخدم البرامج الضارة إجراءات مهمة لإخفاء استدعاءات API الخاصة بها ، بالإضافة إلى التشفير القوي بمزيج من RC4 و Base64. علاوة على ذلك ، يتم الاتصال بـ C2 عبر بروتوكول SSL (طبقة مآخذ التوصيل الآمنة) وبالتالي يتم تشفيره أيضًا.

يقوم Mars Stealer بإجراء عدة فحوصات وإذا تم استيفاء معايير معينة ، فلن يتم تنشيط التهديد. على سبيل المثال ، إذا كان معرف اللغة للجهاز الذي تم اختراقه يطابق أيًا من البلدان التالية - روسيا وأذربيجان وبيلاروسيا وأوزبكستان وكازاخستان ، فسينهي Mars Stealer تنفيذه. سيحدث نفس الشيء أيضًا إذا كان تاريخ التجميع أقدم من شهر من وقت النظام.

الشائع

الأكثر مشاهدة

جار التحميل...