Mars Stealer

Zmogljiva zlonamerna programska oprema za krajo informacij z imenom Mars Stealer se ponuja kibernetičnim kriminalcem na rusko govorečih hekerskih forumih. Igralec grožnje lahko kupi osnovno različico Mars Stealer za 140 $ ali pa se odloči, da plača 20 $ več in dobi razširjeno različico. Zahvaljujoč analizi, ki jo je izvedel varnostni raziskovalec @3xp0rt, je bilo ugotovljeno, da je Mars Stealer večinoma prenova podobne zlonamerne programske opreme z imenom Oski , katere razvoj je bil ustavljen sredi leta 2020.nenadoma.

Nevarne funkcije

Mars Stealer lahko cilja na več kot 100 različnih aplikacij in od njih pridobi občutljive zasebne podatke. Prvič, grabber po meri pridobi konfiguracijo grožnje iz strežnika za upravljanje in nadzor (C2, C&C) operacije. Nato bo Mars Stealer izvlekel podatke iz najbolj priljubljenih spletnih brskalnikov, aplikacij 2FA (Two-Factor Authentication), kripto razširitev in kriptodenarnic.

Med prizadeto aplikacijoLikacije so Chrome, Internet Explorer, Edge (različica Chromium), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core in njegovi derivati, Ethereum, Electrum in še veliko več . Grožnja zajame in izloči tudi dodatne sistemske informacije. Te podrobnosti vključujejo naslov IP, državo, lokalni čas in časovni pas, jezik, postavitev tipkovnice, uporabniško ime, ime računalnika domene, ID stroja, GUID, programsko opremo, nameščeno na napravi itd.

Tehnike proti zaznavanju in izogibanju

Mars Stealer je zasnovan tako, da zmanjša svoj odtis na okuženih napravah. Grožnja je opremljena z brisalcem po meri, ki se lahko aktivira po zbiranju ciljnih podatkov ali kadar se napadalci za to odločijo. Da bi otežila odkrivanje, zlonamerna programska oprema uporablja rutine, katerih naloga je skrivanje klicev API-ja, pa tudi močno šifriranje s kombinacijo RC4 in Base64. Poleg tega se komunikacija s C2 izvaja prek protokola SSL (Secure Sockets Layer) in je zato tudi šifrirana.

Mars Stealer izvede več preverjanj in če so izpolnjeni določeni parametri, se grožnja ne bo aktivirala. Če se na primer jezikovni ID vlomljene naprave ujema s katero koli od naslednjih držav – Rusijo, Azerbajdžan, Belorusijo, Uzbekistan in Kazahstan, bo Mars Stealer prekinil izvajanje. Enako se bo zgodilo tudi, če je datum sestavljanja starejši od enega meseca od sistemskega časa.