Threat Database Malware Крадецът на Марс

Крадецът на Марс

Мощен злонамерен софтуер за кражба на информация, наречен Mars Stealer, се предлага на киберпрестъпниците в рускоезичните хакерски форуми. Заплахата може или да закупи базовата версия на Mars Stealer за $140, или да избере да плати $20 повече и да получи разширения вариант. Благодарение на анализ, извършен от изследователя по сигурността @3xp0rt, беше установено, че в по-голямата си част Mars Stealer е редизайн на подобен зловреден софтуер на име Oski , чиято разработка беше спряна в средата на 2020 г.рязко.

Застрашаващи функции

Mars Stealer може да се насочи към над 100 различни приложения и да получи чувствителна лична информация от тях. Първо, персонализиран граббер извлича конфигурацията на заплахата от сървъра за командване и управление (C2, C&C) на операцията. След това Mars Stealer ще извлича данни от най-популярните уеб браузъри, приложения за 2FA (двуфакторна автентификация), крипто разширения и крипто портфейли.

Сред засегнатото приложениеприложенията са Chrome, Internet Explorer, Edge (версия на Chromium), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core и неговите производни, Ethereum, Electrum и много други . Допълнителна системна информация също се улавя и ексфилтрира от заплахата. Тези подробности включват IP адрес, държава, местно време и часова зона, език, клавиатурна подредба, потребителско име, компютърно име на домейн, идентификатор на машината, GUID, софтуер, инсталиран на устройството и др.

Техники за борба с разкриване и избягване

Mars Stealer е проектиран да сведе до минимум отпечатъка си върху заразени устройства. Заплахата е оборудвана с персонализирана чистачка, която може да се активира след събиране на целевите данни или когато нападателите решат да го направят. За да направи откриването по-трудно, злонамереният софтуер използва рутинни процедури, натоварени със скриването на неговите API повиквания, както и силно криптиране с комбинация от RC4 и Base64. Освен това комуникацията с C2 се извършва чрез протокола SSL (Secure Sockets Layer) и следователно също е криптирана.

Mars Stealer извършва няколко проверки и ако са изпълнени определени параметри, заплахата няма да се активира. Например, ако езиковият идентификатор на нарушеното устройство съвпада с някоя от следните държави - Русия, Азербайджан, Беларус, Узбекистан и Казахстан, Mars Stealer ще прекрати изпълнението си. Същото ще се случи и ако датата на компилация е по-стара от един месец от системното време.

Тенденция

Най-гледан

Зареждане...