Zloděj Marsu

Na rusky mluvících hackerských fórech je kyberzločincům nabízen mocný malware infostealer s názvem Mars Stealer. Aktér ohrožení si může buď koupit základní verzi Mars Stealer za 140 $, nebo se rozhodnout zaplatit o 20 $ více a získat rozšířenou variantu. Díky analýze provedené bezpečnostním výzkumníkem @3xp0rt bylo zjištěno, že Mars Stealer je z velké části předělaný podobný malware jménem Oski , jehož vývoj byl ukončen v polovině roku 2020.náhle.

Ohrožující funkce

Mars Stealer se může zaměřit na více než 100 různých aplikací a získat z nich citlivé soukromé informace. Za prvé, vlastní grabber načte konfiguraci hrozby ze serveru Command-and-Control (C2, C&C) operace. Poté bude Mars Stealer extrahovat data z nejpopulárnějších webových prohlížečů, aplikací 2FA (dvoufaktorové ověřování), kryptografických rozšíření a kryptopeněženek.

Mezi postiženými aplikacemilicace jsou Chrome, Internet Explorer, Edge (verze Chromium), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core a jeho deriváty, Ethereum, Electrum a mnoho dalších . Další systémové informace jsou také zachyceny a exfiltrovány hrozbou. Tyto podrobnosti zahrnují IP adresu, zemi, místní čas a časové pásmo, jazyk, rozložení klávesnice, uživatelské jméno, název počítače domény, ID stroje, GUID, software nainstalovaný v zařízení atd.

Antidetekční a únikové techniky

Mars Stealer je navržen tak, aby minimalizoval svou stopu na infikovaných zařízeních. Hrozba je vybavena vlastním stěračem, který lze aktivovat po shromáždění cílených dat nebo kdykoli se útočníci rozhodnou tak učinit. Ke ztížení detekce malware využívá rutiny, jejichž úkolem je skrývat volání API, a také silné šifrování s kombinací RC4 a Base64. Komunikace s C2 navíc probíhá přes protokol SSL (Secure Sockets Layer) a je tedy také šifrována.

Mars Stealer provede několik kontrol a pokud jsou splněny určité parametry, hrozba se neaktivuje. Pokud se například jazykové ID narušeného zařízení shoduje s některou z následujících zemí – Rusko, Ázerbájdžán, Bělorusko, Uzbekistán a Kazachstán, Mars Stealer ukončí své provádění. Totéž se také stane, pokud je datum kompilace starší než měsíc od systémového času.