Mars Stealer

Rusça konuşan hacker forumlarında siber suçlulara Mars Stealer adlı güçlü bir bilgi hırsızı kötü amaçlı yazılım sunuluyor. Tehdit aktörü, Mars Stealer'ın temel sürümünü 140 $ karşılığında satın alabilir veya 20 $ daha fazla ödemeyi ve genişletilmiş varyantı almayı seçebilir. Güvenlik araştırmacısı @3xp0rt tarafından gerçekleştirilen bir analiz sayesinde, Mars Stealer'ın çoğunlukla, geliştirmesi 2020'nin ortasında durdurulan Oski adlı benzer bir kötü amaçlı yazılımın yeniden tasarımı olduğu belirlendi.aniden.

Tehdit Eden İşlevler

Mars Stealer, 100'den fazla farklı uygulamayı hedefleyebilir ve onlardan hassas özel bilgiler alabilir. İlk olarak, özel bir kapmak, tehdidin yapılandırmasını operasyonun Komuta ve Kontrol (C2, C&C) sunucusundan alır. Daha sonra, Mars Stealer en popüler Web tarayıcılarından, 2FA (İki Faktörlü Kimlik Doğrulama) uygulamalarından, kripto uzantılarından ve kripto cüzdanlarından veri çıkaracaktır.

Etkilenen uygulama arasındalisanslar Chrome, Internet Explorer, Edge (Chromium Versiyonu), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core ve türevleri, Ethereum, Electrum ve çok daha fazlasıdır. . Ek sistem bilgileri de tehdit tarafından yakalanır ve sızdırılır. Bu ayrıntılar arasında IP adresi, ülke, Yerel saat ve saat dilimi, dil, klavye düzeni, kullanıcı adı, etki alanı bilgisayar adı, Makine Kimliği, GUID, cihazda yüklü yazılım vb. bulunur.

Tespiti Önleme ve Kaçınma Teknikleri

Mars Stealer, virüslü cihazlarda ayak izini en aza indirecek şekilde tasarlanmıştır. Tehdit, hedeflenen veriler toplandıktan sonra veya saldırganlar bunu yapmaya karar verdiğinde etkinleştirilebilen özel bir silecek ile donatılmıştır. Algılamayı daha zor hale getirmek için kötü amaçlı yazılım, API çağrılarını gizlemekle görevli rutinleri ve ayrıca RC4 ve Base64 kombinasyonu ile güçlü şifrelemeyi kullanır. Ayrıca, C2 ile iletişim SSL (Güvenli Yuva Katmanı) protokolü aracılığıyla yapılır ve bu nedenle de şifrelenir.

Mars Hırsızı birkaç kontrol gerçekleştirir ve belirli parametreler karşılanırsa tehdit etkinleştirilmez. Örneğin, ihlal edilen cihazın dil kimliği aşağıdaki ülkelerden herhangi biriyle eşleşirse - Rusya, Azerbaycan, Beyaz Rusya, Özbekistan ve Kazakistan, Mars Hırsızı yürütmesini sonlandıracaktır. Aynı durum, derleme tarihi sistem zamanından bir aydan daha eskiyse de gerçekleşecektir.