Vjedhësi i Marsit

Një malware i fuqishëm info vjedhës i quajtur Mars Stealer po u ofrohet kriminelëve kibernetikë në forumet e hakerëve rusishtfolës. Aktori i kërcënimit ose mund të blejë versionin bazë të Mars Stealer për 140 dollarë ose të zgjedhë të paguajë 20 dollarë më shumë dhe të marrë variantin e zgjeruar. Falë një analize të kryer nga studiuesi i sigurisë @3xp0rt, u përcaktua se, në pjesën më të madhe, Mars Stealer është një ridizajnim i një malware të ngjashëm të quajtur Oski, të cilit zhvillimi i tij u mbyll në mes të 2020.befas.

Funksionet kërcënuese

Mars Stealer mund të synojë mbi 100 aplikacione të ndryshme dhe të marrë informacione të ndjeshme private prej tyre. Së pari, një rrëmbyes i personalizuar merr konfigurimin e kërcënimit nga serveri Command-and-Control (C2, C&C) i operacionit. Më pas, Mars Stealer do të nxjerrë të dhëna nga shfletuesit më të njohur të uebit, aplikacionet 2FA (Authentication me dy faktorë), shtesat e kriptove dhe kripto-portotat.

Ndër aplikacionet e prekuralidhjet janë Chrome, Internet Explorer, Edge (versioni i Chromium), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core dhe derivatet e tij, Ethereum, Electrum dhe shumë të tjera . Informacioni shtesë i sistemit gjithashtu kapet dhe eksplorohet nga kërcënimi. Këto detaje përfshijnë adresën IP, vendin, orën lokale dhe zonën kohore, gjuhën, paraqitjen e tastierës, emrin e përdoruesit, emrin e kompjuterit të domenit, ID-në e makinës, GUID, softuerin e instaluar në pajisje, etj.

Teknika kundër zbulimit dhe evazionit

Mars Stealer është krijuar për të minimizuar gjurmën e tij në pajisjet e infektuara. Kërcënimi është i pajisur me një fshirës të personalizuar që mund të aktivizohet pasi të jenë mbledhur të dhënat e synuara ose sa herë që sulmuesit vendosin ta bëjnë këtë. Për ta bërë më të vështirë zbulimin, malware përdor rutina të ngarkuara me fshehjen e thirrjeve të tij API, si dhe kriptim të fortë me një kombinim të RC4 dhe Base64. Për më tepër, komunikimi me C2 bëhet përmes protokollit SSL (Secure Sockets Layer) dhe për këtë arsye është gjithashtu i koduar.

Mars Stealer kryen disa kontrolle dhe nëse plotësohen disa parametra, kërcënimi nuk do të aktivizohet. Për shembull, nëse ID-ja e gjuhës së pajisjes së shkelur përputhet me ndonjë nga vendet e mëposhtme - Rusia, Azerbajxhani, Bjellorusia, Uzbekistani dhe Kazakistani, Mars Stealer do të përfundojë ekzekutimin e tij. E njëjta gjë do të ndodhë gjithashtu nëse data e përpilimit është më e vjetër se një muaj nga koha e sistemit.