Threat Database Malware Mars Stealer

Mars Stealer

Tehokas infostealer-haittaohjelma nimeltä Mars Stealer tarjotaan kyberrikollisille venäjänkielisillä hakkerifoorumeilla. Uhkanäyttelijä voi joko ostaa Mars Stealerin perusversion 140 dollarilla tai maksaa 20 dollaria enemmän ja saada laajennetun version. Tietoturvatutkijan @3xp0rt tekemän analyysin ansiosta selvisi, että Mars Stealer on pääosin samanlaisen Oski- nimisen haittaohjelman uudelleenmuotoilu, jonka kehitys suljettiin vuoden 2020 puolivälissä.yhtäkkiä.

Uhkaavat toiminnot

Mars Stealer voi kohdistaa yli 100 eri sovellukseen ja saada niistä arkaluonteisia yksityisiä tietoja. Ensin mukautettu kaappaaja hakee uhan määritykset operaation Command-and-Control (C2, C&C) palvelimelta. Myöhemmin Mars Stealer poimii tiedot suosituimmista verkkoselaimista, 2FA (Two-Factor Authentication) -sovelluksista, kryptolaajennuksista ja kryptolompakoista.

Asianomaisten sovellusten joukossalikaatiot ovat Chrome, Internet Explorer, Edge (Chromium-versio), Opera, Sputnik-selain, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core ja sen johdannaiset, Ethereum, Electrum ja monet muut . Uhka kaappaa ja suodattaa myös lisää järjestelmätietoja. Näitä tietoja ovat IP-osoite, maa, paikallinen aika ja aikavyöhyke, kieli, näppäimistön asettelu, käyttäjänimi, verkkotunnuksen tietokoneen nimi, konetunnus, GUID, laitteeseen asennettu ohjelmisto jne.

Havaitsemisen esto- ja evaasiotekniikat

Mars Stealer on suunniteltu minimoimaan sen jalanjälki tartunnan saaneissa laitteissa. Uhka on varustettu mukautetulla pyyhkimellä, joka voidaan aktivoida sen jälkeen, kun kohdetiedot on kerätty tai aina, kun hyökkääjät päättävät tehdä niin. Tunnistuksen vaikeuttamiseksi haittaohjelma hyödyntää rutiineja, joiden tehtävänä on piilottaa sen API-kutsut, sekä vahvaa salausta RC4:n ja Base64:n yhdistelmällä. Lisäksi viestintä C2:n kanssa tapahtuu SSL (Secure Sockets Layer) -protokollan kautta ja on siksi myös salattu.

Mars Stealer suorittaa useita tarkistuksia ja jos tietyt parametrit täyttyvät, uhka ei aktivoidu. Jos esimerkiksi rikotun laitteen kielitunnus vastaa jotakin seuraavista maista - Venäjä, Azerbaidžan, Valko-Venäjä, Uzbekistan ja Kazakstan, Mars Stealer lopettaa sen suorittamisen. Sama tapahtuu myös, jos käännöspäivä on vanhempi kuin kuukausi järjestelmäajasta.

Trendaavat

Eniten katsottu

Ladataan...