Mars Stealer

En kraftfuld infostealer-malware ved navn Mars Stealer bliver tilbudt cyberkriminelle på russisktalende hackerfora. Trusselsaktøren kan enten købe basisversionen af Mars Stealer for $140 eller vælge at betale $20 mere og få den udvidede variant. Takket være en analyse udført af sikkerhedsforskeren @3xp0rt blev det fastslået, at Mars Stealer for det meste er et redesign af en lignende malware ved navn Oski, som fik sin udvikling lukket ned i midten af 2020brat.

Truende funktioner

Mars Stealer kan målrette mod over 100 forskellige applikationer og få følsomme private oplysninger fra dem. Først henter en brugerdefineret grabber truslens konfiguration fra kommando-og-kontrol-serveren (C2, C&C) for operationen. Derefter vil Mars Stealer udtrække data fra de mest populære webbrowsere, 2FA (To-Factor Authentication) applikationer, kryptoudvidelser og krypto-wallets.

Blandt de berørte applikationer er Chrome, Internet Explorer, Edge (Chromium Version), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core og dets derivater, Ethereum, Electrum og mange flere . Yderligere systemoplysninger fanges og udskilles også af truslen. Disse detaljer inkluderer IP-adresse, land, lokal tid og tidszone, sprog, tastaturlayout, brugernavn, domænecomputernavn, Maskin-ID, GUID, software installeret på enheden osv.

Anti-detektions- og undvigelsesteknikker

Mars Stealer er designet til at minimere dens fodaftryk på inficerede enheder. Truslen er udstyret med en brugerdefineret visker, der kan aktiveres, efter at de målrettede data er blevet indsamlet, eller når angriberne beslutter sig for at gøre det. For at gøre detektion sværere, bruger malwaren rutiner, der har til opgave at skjule dets API-kald, samt stærk kryptering med en kombination af RC4 og Base64. Ydermere foregår kommunikationen med C2 via SSL (Secure Sockets Layer) protokollen og er derfor også krypteret.

Mars Stealer udfører flere kontroller, og hvis visse parametre er opfyldt, vil truslen ikke aktiveres. Hvis f.eks. sprog-id'et for den brudte enhed matcher et af følgende lande - Rusland, Aserbajdsjan, Hviderusland, Usbekistan og Kasakhstan, vil Mars Stealer afslutte sin henrettelse. Det samme vil også ske, hvis kompileringsdatoen er ældre end en måned fra systemtidspunktet.