Mars Stealer

一种名为 Mars Stealer 的强大信息窃取恶意软件正在俄语黑客论坛上提供给网络犯罪分子。威胁者可以以 140 美元的价格购买 Mars Stealer 的基本版本，也可以选择多支付 20 美元并获得扩展版本。感谢安全研究员@3xp0rt 进行的分析，确定在很大程度上，Mars Stealer 是对名为Oski的类似恶意软件的重新设计，该恶意软件的开发在 2020 年年中停止突然。

威胁函数

Mars Stealer 可以针对 100 多个不同的应用程序并从中获取敏感的私人信息。首先，自定义抓取器从操作的命令和控制（C2、C&C）服务器获取威胁的配置。之后，Mars Stealer 将从最流行的 Web 浏览器、2FA（双重身份验证）应用程序、加密扩展程序和加密钱包中提取数据。

在受影响的应用程序中lications 是 Chrome、Internet Explorer、Edge（Chromium 版）、Opera、Sputnik Browser、Vivaldi、Brave、Firefox、Authenticator、GAuth Authenticator、MetaMAsk、Binance、Coinbase Wallet、Coinomi、Bitcoin Core 及其衍生产品、Ethereum、Electrum 等等.其他系统信息也会被威胁捕获和泄露。这些详细信息包括 IP 地址、国家、本地时间和时区、语言、键盘布局、用户名、域计算机名称、机器 ID、GUID、设备上安装的软件等。

反检测和逃避技术

Mars Stealer 旨在最大限度地减少其在受感染设备上的足迹。该威胁配备了一个自定义擦除器，可以在收集目标数据后或攻击者决定这样做时激活该擦除器。为了使检测更加困难，该恶意软件利用了隐藏其 API 调用的例程，以及结合 RC4 和 Base64 的强加密。此外，与 C2 的通信是通过 SSL（安全套接字层）协议完成的，因此也是加密的。

Mars Stealer 执行多项检查，如果满足某些参数，威胁将不会激活。例如，如果被入侵设备的语言 ID 与以下任何国家（俄罗斯、阿塞拜疆、白俄罗斯、乌兹别克斯坦和哈萨克斯坦）匹配，则 Mars Stealer 将终止其执行。如果编译日期比系统时间早一个月，也会发生同样的情况。