Threat Database Malware Mars Stealer

Mars Stealer

En kraftig infostealer-skadevare ved navn Mars Stealer blir tilbudt nettkriminelle på russisktalende hackerfora. Trusselaktøren kan enten kjøpe basisversjonen av Mars Stealer for $140 eller velge å betale $20 mer og få den utvidede varianten. Takket være en analyse utført av sikkerhetsforskeren @3xp0rt, ble det fastslått at Mars Stealer for det meste er en redesign av en lignende skadevare ved navn Oski som fikk sin utvikling stengt i midten av 2020brått.

Truende funksjoner

Mars Stealer kan målrette mot over 100 forskjellige applikasjoner og få sensitiv privat informasjon fra dem. Først henter en tilpasset grabber trusselens konfigurasjon fra Command-and-Control-serveren (C2, C&C) for operasjonen. Etterpå vil Mars Stealer trekke ut data fra de mest populære nettleserne, 2FA-applikasjoner (tofaktorautentisering), kryptoutvidelser og krypto-lommebøker.

Blant de berørte appenelikasjoner er Chrome, Internet Explorer, Edge (Chromium-versjon), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core og dens derivater, Ethereum, Electrum og mange flere . Ytterligere systeminformasjon blir også fanget opp og eksfiltrert av trusselen. Disse detaljene inkluderer IP-adresse, land, lokal tid og tidssone, språk, tastaturoppsett, brukernavn, domenedatamaskinnavn, maskin-ID, GUID, programvare installert på enheten, etc.

Antideteksjons- og unnvikelsesteknikker

Mars Stealer er designet for å minimere fotavtrykket på infiserte enheter. Trusselen er utstyrt med en tilpasset visker som kan aktiveres etter at de målrettede dataene er samlet inn eller når angriperne bestemmer seg for å gjøre det. For å gjøre deteksjon vanskeligere, bruker skadevaren rutiner som har i oppgave å skjule API-kallene, samt sterk kryptering med en kombinasjon av RC4 og Base64. Videre skjer kommunikasjon med C2 via SSL (Secure Sockets Layer) protokollen og er derfor også kryptert.

Mars Stealer utfører flere kontroller, og hvis visse parametere er oppfylt, vil ikke trusselen aktiveres. For eksempel, hvis språk-ID-en til den brutte enheten samsvarer med noen av følgende land - Russland, Aserbajdsjan, Hviterussland, Usbekistan og Kasakhstan, vil Mars Stealer avslutte utførelsen. Det samme vil også skje hvis kompileringsdatoen er eldre enn en måned fra systemtidspunktet.

Trender

Mest sett

Laster inn...