Mars Stealer

一種名為 Mars Stealer 的強大信息竊取惡意軟件正在俄語黑客論壇上提供給網絡犯罪分子。威脅者可以以 140 美元的價格購買 Mars Stealer 的基本版本，或者選擇多支付 20 美元並獲得擴展版本。感謝安全研究員@3xp0rt 進行的分析，確定在很大程度上，Mars Stealer 是對名為Oski的類似惡意軟件的重新設計，該惡意軟件的開發在 2020 年年中停止突然。

威脅函數

Mars Stealer 可以針對 100 多個不同的應用程序並從中獲取敏感的私人信息。首先，自定義抓取器從操作的命令和控制（C2、C&C）服務器獲取威脅的配置。之後，Mars Stealer 將從最流行的 Web 瀏覽器、2FA（雙因素身份驗證）應用程序、加密擴展程序和加密錢包中提取數據。

在受影響的應用程序中lications 是 Chrome、Internet Explorer、Edge（Chromium 版本）、Opera、Sputnik Browser、Vivaldi、Brave、Firefox、Authenticator、GAuth Authenticator、MetaMAsk、Binance、Coinbase Wallet、Coinomi、Bitcoin Core 及其衍生產品、Ethereum、Electrum 等等.其他系統信息也會被威脅捕獲和洩露。這些詳細信息包括 IP 地址、國家、本地時間和時區、語言、鍵盤佈局、用戶名、域計算機名稱、機器 ID、GUID、設備上安裝的軟件等。

反檢測和逃避技術

Mars Stealer 旨在最大限度地減少其在受感染設備上的足跡。該威脅配備了一個自定義擦除器，可以在收集目標數據後或攻擊者決定這樣做時激活該擦除器。為了使檢測更加困難，該惡意軟件利用了隱藏其 API 調用的例程，以及結合 RC4 和 Base64 的強加密。此外，與 C2 的通信是通過 SSL（安全套接字層）協議完成的，因此也是加密的。

Mars Stealer 執行多項檢查，如果滿足某些參數，威脅將不會激活。例如，如果被入侵設備的語言 ID 與以下任何國家（俄羅斯、阿塞拜疆、白俄羅斯、烏茲別克斯坦和哈薩克斯坦）匹配，則 Mars Stealer 將終止其執行。如果編譯日期比系統時間早一個月，也會發生同樣的情況。