Marte’ Marte

Il nuovo Marte infostealer sta ancora guadagnando popolarità nella comunità degli hacker, e gli analisti stanno già contrassegnando le prime campagne su larga scala che lo utilizzano.

Marte è una versione ridisegnata di Oski il malware, che è stato interrotto in 2020. Il malware è altamente in grado di rubare informazioni e attacca una vasta gamma di applicazioni, compresi i browser più diffusi, plug-in di autenticazione a due fattori, così come molte estensioni e portafogli per lavorare con le criptovalute.

Mars inoltre raccoglie e invia ai propri operatori le seguenti informazioni sul sistema della vittima:

1. Indirizzo IP e paese;
2. percorso del file EXE;
3. ora locale e fuso orario;
4. lingua di sistema;
5. disposizione della tastiera della lingua;
6. portatile o desktop;
7. modello di processore;
8. nome del computer;
9. nome utente;
10. nome del computer nel dominio;
11. identificativo della macchina;
12. GUIDA;
13. programmi installati e relative versioni.

Amministratore di Marte

Pubblicizzato su molti forum di hacking per mezzo $140 e $160 per una licenza a vita, Marte è cresciuto piuttosto lentamente fino a poco tempo fa, ma sembra il recente arresto di Ladro di procioni ha costretto gli hacker a cercare alternative e dare un'occhiata a Marte. È arrivato al punto che gli autori del malware hanno scritto che riuscivano a malapena a far fronte all'afflusso di nuovi clienti.

Più spesso, questo malware viene distribuito tramite e-mail di spam contenenti un file eseguibile in un archivio, un collegamento per il download, o un documento dannoso. però, a volte Mars viene distribuito anche tramite siti fraudolenti. Una di queste campagne, che sta decisamente diventando più grande dopo l'afflusso di clienti, è stato scoperto dagli esperti di Morphisec. gli analisti hanno confermato che il ransomware è reale, il malware utilizza Google Annunci per portare siti clone dell'open source Ufficio aperto nelle prime posizioni nei risultati di ricerca in Canada.

Il programma di installazione di OpenOffice su un sito così falso è un eseguibile Mars impacchettato con l'estensione Babadeda cryptor o il Autoit boot loader.

interessante, poco dopo il rilascio di Marte, è apparsa una versione compromessa del malware con le istruzioni, che ha gravi difetti. In particolare, prescrive di impostare l'accesso completo (777) all'intero progetto, compresa la directory con i registri delle vittime.

I log sono un file ZIP contenente i dati sottratti dal malware agli utenti e caricati sul C&C server. L'imprecisione nelle istruzioni ha portato al fatto che gli aggressori configurano in modo errato il loro ambiente, rivelando informazioni importanti al mondo intero.

I ricercatori lo hanno scoperto, come parte della campagna di cui sopra, le informazioni rubate includevano i dati di compilazione automatica del browser, dati dell'estensione del browser, dati della carta di credito, indirizzo IP, prefisso internazionale e fuso orario.

Dal momento che l'operatore di malware che ha seguito le istruzioni si è infettato con una copia di Mars (apparentemente durante il debug), sono stati diffusi anche i suoi dati personali. Questo errore di calcolo ha permesso agli esperti di Morphisec di collegare gli attacchi all'utente di lingua russa, trovando il suo GitLab conti, credenziali rubate utilizzate per pagare Google Ads, e altro ancora.

Il team di Morphisec Labs riferisce che in totale sono stati in grado di identificare più di 50 utenti di dominio infetti che hanno compromesso le loro aziende’ password di dominio. La stragrande maggioranza delle vittime sono studenti, educatori e creatori di contenuti che cercavano app legittime ma invece hanno ricevuto malware.

Vi ricordo che abbiamo parlato anche del fatto che molti avvertono che l'applicazione ha funzionalità limitate e richiede l'accesso tramite Facebook 100,000 molti avvertono che l'applicazione ha funzionalità limitate e richiede l'accesso tramite Facebook, e anche quello SharkBot Android Trojan ruba criptovaluta e hackera conti bancari.