Threat Database Malware Марс похититель

Марс похититель

На русскоязычных хакерских форумах киберпреступникам предлагают мощную вредоносную программу-инфостилер Mars Stealer. Злоумышленник может либо купить базовую версию Mars Stealer за 140 долларов, либо заплатить еще 20 долларов и получить расширенный вариант. Благодаря анализу, проведенному исследователем безопасности @3xp0rt, было установлено, что Mars Stealer по большей части представляет собой переработанную версию аналогичного вредоносного ПО под названием Oski, разработка которого была прекращена в середине 2020 года.резко.

Угрожающие функции

Mars Stealer может атаковать более 100 различных приложений и получать от них конфиденциальную личную информацию. Во-первых, специальный граббер извлекает конфигурацию угрозы с сервера управления и контроля (C2, C&C) операции. После этого Mars Stealer будет извлекать данные из самых популярных веб-браузеров, приложений 2FA (двухфакторной аутентификации), крипторасширений и криптокошельков.

Среди затронутых приложенийЭто Chrome, Internet Explorer, Edge (версия Chromium), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core и его производные, Ethereum, Electrum и многие другие. . Дополнительная системная информация также захватывается и удаляется угрозой. Эти сведения включают IP-адрес, страну, местное время и часовой пояс, язык, раскладку клавиатуры, имя пользователя, доменное имя компьютера, идентификатор машины, GUID, программное обеспечение, установленное на устройстве, и т. д.

Методы предотвращения обнаружения и уклонения

Mars Stealer разработан таким образом, чтобы свести к минимуму его воздействие на зараженные устройства. Угроза оснащена специальным очистителем, который можно активировать после сбора целевых данных или всякий раз, когда злоумышленники решат это сделать. Чтобы затруднить обнаружение, вредоносное ПО использует подпрограммы, призванные скрывать вызовы API, а также надежное шифрование с комбинацией RC4 и Base64. Кроме того, связь с C2 осуществляется по протоколу SSL (Secure Sockets Layer) и, следовательно, также зашифрована.

Mars Stealer выполняет несколько проверок и при соблюдении определенных параметров угроза не активируется. Например, если языковой идентификатор взломанного устройства соответствует любой из следующих стран — России, Азербайджану, Беларуси, Узбекистану и Казахстану, Mars Stealer прекратит его выполнение. То же самое произойдет, если дата компиляции старше, чем на месяц от системного времени.

В тренде

Наиболее просматриваемые

Загрузка...