Mars Stealer

Na rosyjskojęzycznych forach hakerskich cyberprzestępcom oferuje się potężne złośliwe oprogramowanie do kradzieży informacji o nazwie Mars Stealer. Zagrożony gracz może albo kupić podstawową wersję Złodzieja Marsa za 140 USD, albo zdecydować się zapłacić 20 USD więcej i uzyskać rozszerzoną wersję. Dzięki analizie przeprowadzonej przez badacza bezpieczeństwa @3xp0rt ustalono, że w większości Złodziej Marsa jest przeprojektowaniem podobnego złośliwego oprogramowania o nazwie Oski, którego rozwój został wstrzymany w połowie 2020 r.nagle.

Funkcje grożące

Mars Stealer może atakować ponad 100 różnych aplikacji i uzyskiwać z nich poufne informacje prywatne. Najpierw niestandardowy grabber pobiera konfigurację zagrożenia z serwera Command-and-Control (C2, C&C) operacji. Następnie Mars Stealer będzie wydobywał dane z najpopularniejszych przeglądarek internetowych, aplikacji 2FA (Two-Factor Authentication), rozszerzeń kryptograficznych i portfeli kryptograficznych.

Wśród dotkniętych aplikacjilikacje to Chrome, Internet Explorer, Edge (wersja Chromium), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core i jego pochodne, Ethereum, Electrum i wiele innych . Dodatkowe informacje systemowe są również przechwytywane i eksfiltrowane przez zagrożenie. Dane te obejmują adres IP, kraj, lokalną godzinę i strefę czasową, język, układ klawiatury, nazwę użytkownika, nazwę komputera domeny, identyfikator maszyny, identyfikator GUID, oprogramowanie zainstalowane na urządzeniu itp.

Techniki antywykrywania i unikania

Mars Stealer został zaprojektowany tak, aby zminimalizować jego wpływ na zainfekowane urządzenia. Zagrożenie jest wyposażone w niestandardową wycieraczkę, którą można aktywować po zebraniu docelowych danych lub za każdym razem, gdy atakujący zdecydują się to zrobić. Aby utrudnić wykrywanie, złośliwe oprogramowanie wykorzystuje procedury, których zadaniem jest ukrywanie wywołań interfejsu API, a także silne szyfrowanie za pomocą kombinacji RC4 i Base64. Ponadto komunikacja z C2 odbywa się za pośrednictwem protokołu SSL (Secure Sockets Layer), a zatem jest również szyfrowana.

Złodziej Marsa przeprowadza kilka testów i jeśli zostaną spełnione określone parametry, zagrożenie nie zostanie aktywowane. Na przykład, jeśli identyfikator języka naruszonego urządzenia pasuje do któregokolwiek z następujących krajów - Rosji, Azerbejdżanu, Białorusi, Uzbekistanu i Kazachstanu, Złodziej Marsa zakończy jego działanie. To samo stanie się również, jeśli data kompilacji jest starsza niż miesiąc od czasu systemowego.