Threat Database Malware Mars Stealer

Mars Stealer

Un potente malware di infostealer chiamato Mars Stealer viene offerto ai criminali informatici sui forum di hacker di lingua russa. L'attore della minaccia può acquistare la versione base di Mars Stealer per $ 140 o scegliere di pagare $ 20 in più e ottenere la variante estesa. Grazie a un'analisi eseguita dal ricercatore di sicurezza @3xp0rt, è stato stabilito che, per la maggior parte, Mars Stealer è una riprogettazione di un malware simile chiamato Oski il cui sviluppo è stato interrotto a metà del 2020bruscamente.

Funzioni minacciose

Il Mars Stealer può prendere di mira oltre 100 diverse applicazioni e ottenere da esse informazioni private sensibili. Innanzitutto, un grabber personalizzato recupera la configurazione della minaccia dal server Command-and-Control (C2, C&C) dell'operazione. Successivamente, il Mars Stealer estrarrà i dati dai browser Web più diffusi, dalle applicazioni 2FA (Two-Factor Authentication), dalle estensioni crittografiche e dai portafogli crittografici.

Tra le app interessatele licazioni sono Chrome, Internet Explorer, Edge (versione Chromium), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core e suoi derivati, Ethereum, Electrum e molti altri . Anche le informazioni di sistema aggiuntive vengono acquisite ed esfiltrate dalla minaccia. Questi dettagli includono l'indirizzo IP, il paese, l'ora locale e il fuso orario, la lingua, il layout della tastiera, il nome utente, il nome del computer del dominio, l'ID macchina, il GUID, il software installato sul dispositivo, ecc.

Tecniche anti-rilevamento ed evasione

Il Mars Stealer è progettato per ridurre al minimo la sua impronta sui dispositivi infetti. La minaccia è dotata di un wiper personalizzato che può essere attivato dopo che i dati presi di mira sono stati raccolti o ogni volta che gli aggressori decidono di farlo. Per rendere più difficile il rilevamento, il malware utilizza routine incaricate di nascondere le sue chiamate API, oltre a una crittografia avanzata con una combinazione di RC4 e Base64. Inoltre, la comunicazione con il C2 avviene tramite il protocollo SSL (Secure Sockets Layer) ed è quindi anche crittografata.

Il Mars Stealer esegue diversi controlli e se vengono soddisfatti determinati parametri, la minaccia non si attiverà. Ad esempio, se l'ID lingua del dispositivo violato corrisponde a uno dei seguenti paesi: Russia, Azerbaigian, Bielorussia, Uzbekistan e Kazakistan, Mars Stealer interromperà la sua esecuzione. Lo stesso accadrà anche se la data di compilazione è più vecchia di un mese dall'ora del sistema.

Tendenza

I più visti

Caricamento in corso...