Threat Database Malware Mars Stealer

Mars Stealer

En kraftfull infostealer skadlig kod vid namn Mars Stealer erbjuds cyberkriminella på rysktalande hackerforum. Hotaktören kan antingen köpa basversionen av Mars Stealer för $140 eller välja att betala $20 mer och få den utökade varianten. Tack vare en analys utförd av säkerhetsforskaren @3xp0rt fastställdes det att Mars Stealer för det mesta är en omdesign av en liknande skadlig programvara vid namn Oski som fick sin utveckling avstängd i mitten av 2020tvärt.

Hotande funktioner

Mars Stealer kan rikta in sig på över 100 olika applikationer och få känslig privat information från dem. Först hämtar en anpassad grabber hotets konfiguration från kommando-och-kontroll-servern (C2, C&C) för operationen. Efteråt kommer Mars Stealer att extrahera data från de mest populära webbläsarna, 2FA-applikationer (Two-Factor Authentication), kryptotillägg och kryptoplånböcker.

Bland de drabbade appenlications är Chrome, Internet Explorer, Edge (Chromium Version), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core och dess derivat, Ethereum, Electrum och många fler . Ytterligare systeminformation fångas också upp och exfiltreras av hotet. Dessa detaljer inkluderar IP-adress, land, lokal tid och tidszon, språk, tangentbordslayout, användarnamn, domändatornamn, maskin-ID, GUID, programvara installerad på enheten, etc.

Antidetekterings- och undanflyktstekniker

Mars Stealer är designad för att minimera sitt fotavtryck på infekterade enheter. Hotet är utrustat med en anpassad torkare som kan aktiveras efter att måldata har samlats in eller närhelst angriparna bestämmer sig för att göra det. För att göra upptäckten svårare använder den skadliga programvaran rutiner med uppgift att dölja dess API-anrop, samt stark kryptering med en kombination av RC4 och Base64. Vidare sker kommunikationen med C2 via SSL (Secure Sockets Layer) protokollet och är därför också krypterad.

Mars Stealer utför flera kontroller och om vissa parametrar är uppfyllda kommer hotet inte att aktiveras. Till exempel, om språk-ID:t för den brutna enheten stämmer överens med något av följande länder - Ryssland, Azerbajdzjan, Vitryssland, Uzbekistan och Kazakstan, kommer Mars Stealer att avsluta sin körning. Detsamma kommer också att hända om kompileringsdatumet är äldre än en månad från systemtiden.

Trendigt

Mest sedda

Läser in...