화성 강탈자

Mars Stealer라는 강력한 인포스틸러 악성코드가 러시아어를 사용하는 해커 포럼에서 사이버 범죄자들에게 제공되고 있습니다. 위협 행위자는 Mars Stealer의 기본 버전을 140달러에 구입하거나 20달러를 더 지불하고 확장된 변종을 선택할 수 있습니다. 보안 연구원 @3xp0rt가 수행한 분석 덕분에 대부분의 경우 Mars Stealer는 2020년 중반에 개발이 중단된 Oski라는 유사한 맬웨어를 재설계한 것으로 나타났습니다.갑자기.

위협하는 기능

Mars Stealer는 100개 이상의 서로 다른 애플리케이션을 대상으로 하고 이들로부터 민감한 개인 정보를 얻을 수 있습니다. 먼저 사용자 지정 그래버가 작업의 Command-and-Control(C2, C&C) 서버에서 위협 구성을 가져옵니다. 그 후 Mars Stealer는 가장 인기 있는 웹 브라우저, 2FA(2단계 인증) 애플리케이션, 암호화 확장 및 암호화 지갑에서 데이터를 추출합니다.

영향을 받는 앱 중라이선스는 Chrome, Internet Explorer, Edge(Chromium 버전), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core 및 파생 상품, Ethereum, Electrum 등입니다. . 추가 시스템 정보도 캡처되어 위협 요소에 의해 유출됩니다. 이러한 세부 정보에는 IP 주소, 국가, 현지 시간 및 시간대, 언어, 키보드 레이아웃, 사용자 이름, 도메인 컴퓨터 이름, 컴퓨터 ID, GUID, 장치에 설치된 소프트웨어 등이 포함됩니다.

탐지 방지 및 회피 기술

Mars Stealer는 감염된 장치의 발자국을 최소화하도록 설계되었습니다. 위협에는 표적 데이터가 수집된 후 또는 공격자가 그렇게 하기로 결정할 때마다 활성화할 수 있는 맞춤형 와이퍼가 장착되어 있습니다. 탐지를 더 어렵게 만들기 위해 맬웨어는 API 호출을 숨기는 루틴과 RC4와 Base64의 조합으로 강력한 암호화를 활용합니다. 또한 C2와의 통신은 SSL(Secure Sockets Layer) 프로토콜을 통해 이루어지므로 암호화됩니다.

Mars Stealer는 몇 가지 검사를 수행하며 특정 매개변수가 충족되면 위협이 활성화되지 않습니다. 예를 들어, 침해된 기기의 언어 ID가 러시아, 아제르바이잔, 벨로루시, 우즈베키스탄, 카자흐스탄과 같은 국가 중 하나와 일치하는 경우 Mars Stealer는 실행을 종료합니다. 컴파일 날짜가 시스템 시간보다 한 달 이상 지난 경우에도 마찬가지입니다.