verwijder Distrevolumn.club’ verwijder Distrevolumn.club
De nieuwe verwijder Distrevolumn.club infostealer wint nog steeds aan populariteit in de hackergemeenschap, en analisten markeren al de eerste grootschalige campagnes die er gebruik van maken.
verwijder Distrevolumn.club is een opnieuw ontworpen versie van de oski malware, die werd stopgezet in 2020. De malware is zeer goed in staat informatie te stelen en valt een zeer breed scala aan applicaties aan, inclusief populaire browsers, plug-ins voor tweefactorauthenticatie, evenals vele extensies en portemonnees voor het werken met cryptocurrencies.
Mars verzamelt ook de volgende informatie over het systeem van het slachtoffer en stuurt deze naar zijn operators:
- IP-adres en land;
- pad naar EXE-bestand;
- lokale tijd en tijdzone;
- systeem taal;
- taal toetsenbordindeling;
- laptop of desktop;
- processormodel;
- computernaam;
- gebruikersnaam;
- computernaam in het domein;
- machine-identificatie;
- GUID;
- geïnstalleerde programma's en hun versies.
Mars-beheerder
Geadverteerd op veel hackforums voor tussendoor $140 en $160 voor een levenslange licentie, Mars is tot voor kort vrij langzaam gegroeid, maar het lijkt op de recente sluiting van Wasbeer-diefstal heeft hackers gedwongen naar alternatieven te zoeken en een kijkje te nemen op Mars. Het kwam op het punt dat de auteurs van de malware schreven dat ze de toestroom van nieuwe klanten nauwelijks konden verwerken.
Meest voorkomend, deze malware wordt verspreid via spam-e-mails die een uitvoerbaar bestand in een archief bevatten, een downloadlink, of een kwaadaardig document. Echter, soms wordt Mars ook verspreid via frauduleuze sites. Eén van deze campagnes, die zeker groter wordt na de toestroom van klanten, werd ontdekt door deskundigen van Morphisec. analisten hebben bevestigd dat de ransomware echt is, de malware gebruikt Google Advertenties om kloonsites van de open source te brengen OpenOffice naar de topposities in zoekresultaten in Canada.
Het OpenOffice-installatieprogramma op zo'n nepsite is een uitvoerbaar bestand van Mars, verpakt met de Babada cryptor of de Autoit bootloader.
interessant genoeg, kort na de vrijlating van Mars, er verscheen een gehackte versie van de malware met instructies, die ernstige gebreken vertoont. Vooral, het schrijft voor om volledige toegang in te stellen (777) aan het gehele project, inclusief de directory met de logs van de slachtoffers.
De logbestanden zijn een ZIP-bestand met gegevens die door de malware van gebruikers zijn gestolen en naar de C&C-server. De onnauwkeurigheid in de instructies heeft ertoe geleid dat aanvallers hun omgeving verkeerd configureren, belangrijke informatie aan de hele wereld onthullen.
Dat ontdekten de onderzoekers, als onderdeel van de bovengenoemde campagne, De gestolen informatie omvatte gegevens voor automatisch aanvullen van de browser, gegevens van browserextensies, bankkaartgegevens, IP-adres, landcode en tijdzone.
Omdat de malware-operator die de instructies opvolgde, zichzelf besmette met een kopie van Mars (Blijkbaar tijdens het debuggen), zijn persoonlijke gegevens werden ook openbaar gemaakt. Door deze misrekening konden Morphisec-experts de aanvallen koppelen aan de Russisch sprekende gebruiker, het vinden van de zijne GitLab rekeningen, gestolen inloggegevens die worden gebruikt om voor Google Ads te betalen, en meer.
Het Morphisec Labs-team meldt dat ze in totaal meer dan hebben kunnen identificeren 50 geïnfecteerde domeingebruikers die hun bedrijven in gevaar brachten’ domeinwachtwoorden. De overgrote meerderheid van de slachtoffers zijn studenten, docenten en makers van inhoud die op zoek waren naar legitieme apps, maar in plaats daarvan malware kregen.
Laat me je eraan herinneren dat we het ook hadden over het feit dat velen waarschuwen dat de applicatie beperkte functionaliteit heeft en inloggen via Facebook vereist 100,000 velen waarschuwen dat de applicatie beperkte functionaliteit heeft en inloggen via Facebook vereist, aan de auteurs van de SharkBot Android-trojan steelt cryptovaluta en hackt bankrekeningen.
