Threat Database Malware Mars Stealer

Mars Stealer

Een krachtige infostealer-malware genaamd Mars Stealer wordt aangeboden aan cybercriminelen op Russisch sprekende hackerforums. De dreigingsactor kan ofwel de basisversie van de Mars Stealer kopen voor $ 140 of ervoor kiezen om $ 20 meer te betalen en de uitgebreide variant te krijgen. Dankzij een analyse uitgevoerd door de beveiligingsonderzoeker @3xp0rt, werd vastgesteld dat de Mars Stealer voor het grootste deel een herontwerp is van een vergelijkbare malware genaamd Oski waarvan de ontwikkeling medio 2020 werd stopgezetabrupt.

Bedreigende functies

De Mars Stealer kan meer dan 100 verschillende toepassingen targeten en gevoelige privé-informatie van hen verkrijgen. Eerst haalt een aangepaste grabber de configuratie van de dreiging op van de Command-and-Control (C2, C&C)-server van de operatie. Daarna zal de Mars Stealer gegevens extraheren uit de meest populaire webbrowsers, 2FA-toepassingen (Two-Factor Authentication), crypto-extensies en crypto-wallets.

Onder de getroffen applicenties zijn Chrome, Internet Explorer, Edge (Chromium-versie), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core en zijn derivaten, Ethereum, Electrum en nog veel meer . Aanvullende systeeminformatie wordt ook vastgelegd en geëxfiltreerd door de dreiging. Deze details omvatten het IP-adres, land, lokale tijd en tijdzone, taal, toetsenbordindeling, gebruikersnaam, domeinnaam van de domeinnaam, computer-ID, GUID, software die op het apparaat is geïnstalleerd, enz.

Antidetectie- en ontwijkingstechnieken

De Mars Stealer is ontworpen om zijn voetafdruk op geïnfecteerde apparaten te minimaliseren. De dreiging is uitgerust met een aangepaste wisser die kan worden geactiveerd nadat de gerichte gegevens zijn verzameld of wanneer de aanvallers besluiten dit te doen. Om detectie te bemoeilijken, gebruikt de malware routines die zijn belast met het verbergen van de API-aanroepen, evenals sterke versleuteling met een combinatie van RC4 en Base64. Verder verloopt de communicatie met de C2 via het SSL (Secure Sockets Layer) protocol en dus ook versleuteld.

De Mars Stealer voert verschillende controles uit en als aan bepaalde parameters wordt voldaan, wordt de dreiging niet geactiveerd. Als de taal-ID van het gehackte apparaat bijvoorbeeld overeenkomt met een van de volgende landen - Rusland, Azerbeidzjan, Wit-Rusland, Oezbekistan en Kazachstan, beëindigt de Mars Stealer de uitvoering ervan. Hetzelfde zal ook gebeuren als de compilatiedatum ouder is dan een maand vanaf de systeemtijd.

Trending

Meest bekeken

Bezig met laden...