Mars Stealer

Um poderoso malware infostealer chamado Mars Stealer está sendo oferecido a cibercriminosos em fóruns de hackers de língua russa. O agente da ameaça pode comprar a versão base do Mars Stealer por US$140 ou optar por pagar mais US$20 e obter a variante estendida. Graças a uma análise realizada pelo pesquisador de segurança @3xp0rt, foi determinado que, em grande parte, o Mars Stealer é o redesenho de um malware semelhante chamado Oski, que teve seu desenvolvimento encerrado em meados de 2020 abruptamente.

Funções Ameaçadoras

O Mars Stealer pode atingir mais de 100 aplicativos diferentes e obter deles informações privadas confidenciais. Primeiro, um grabber personalizado busca a configuração da ameaça no servidor de Comando e Controle (C2, C&C) da operação. Depois, o Mars Stealer extrairá dados dos navegadores da Web mais populares, aplicativos 2FA (Autenticação de Dois Fatores), cripto-extensões e carteiras de moeda digital.

Entre os aplicativos afetados estão o Chrome, Internet Explorer, Edge (versão Chromium), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMASk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core e seus derivados, Ethereum, Electrum e muitos mais . Informações adicionais do sistema também são capturadas e exfiltradas pela ameaça. Esses detalhes incluem o endereço IP, país, hora local e fuso horário, idioma, layout do teclado, nome de usuário, nome do computador de domínio, ID da máquina, GUID, software instalado no dispositivo etc.

Técnicas de Anti-Detecção e Evasão

O Mars Stealer foi projetado para minimizar suas pegadas nos dispositivos infectados. A ameaça está equipada com um limpador personalizado que pode ser ativado após a coleta dos dados visados ou sempre que os invasores decidirem fazê-lo. Para dificultar a detecção, o malware utiliza rotinas encarregadas de ocultar suas chamadas de API, bem como uma criptografia forte com uma combinação de RC4 e Base64. Além disso, a comunicação com o C2 é feita através do protocolo SSL (Secure Sockets Layer) e, portanto, também é criptografado.

O Mars Stealer realiza várias digitalizações e, se determinados parâmetros forem atendidos, a ameaça não será ativada. Por exemplo, se o código de idioma do dispositivo violado corresponder a qualquer um dos seguintes países - Rússia, Azerbaijão, Bielorrússia, Uzbequistão e Cazaquistão, o Mars Stealer encerrará sua execução. O mesmo também acontecerá se a data de compilação for anterior a um mês da hora do sistema.