Mars’ Mars

Den nye Mars infostealer blir stadig mer populær i hackermiljøet, og analytikere markerer allerede de første store kampanjene som bruker den.

Mars er en redesignet versjon av Oski malware, som ble avviklet i 2020. Skadevaren er svært i stand til å stjele informasjon og angriper et bredt spekter av applikasjoner, inkludert populære nettlesere, to-faktor autentisering plugins, samt mange utvidelser og lommebøker for å jobbe med kryptovalutaer.

Mars samler også inn og sender til sine operatører følgende informasjon om offerets system:

1. IP-adresse og land;
2. bane til EXE-fil;
3. lokal tid og tidssone;
4. systemspråk;
5. språktastaturoppsett;
6. bærbar eller stasjonær;
7. prosessormodell;
8. datamaskinens navn;
9. brukernavn;
10. datamaskinnavn i domenet;
11. maskinidentifikator;
12. GUID;
13. installerte programmer og deres versjoner.

Mars Admin

Annonsert på mange hackingfora for mellom $140 og $160 for en livsvarig lisens, Mars har vokst ganske sakte inntil nylig, men det ser ut som den nylige nedleggelsen av Raccoon Stealer har tvunget hackere til å se etter alternativer og ta en titt på Mars. Det kom til det punktet at forfatterne av skadevaren skrev at de knapt kunne takle tilstrømningen av nye kunder.

Oftest, denne skadelige programvaren distribueres via spam-e-poster som inneholder en kjørbar fil i et arkiv, en nedlastingslenke, eller et ondsinnet dokument. derimot, noen ganger distribueres Mars også gjennom uredelige nettsteder. En av disse kampanjene, som definitivt blir større etter kundetilstrømningen, ble oppdaget av eksperter på Morphisec. analytikere har bekreftet at løsepengevaren er ekte, skadelig programvare bruker Google Annonser for å bringe klone nettsteder av åpen kildekode Åpent kontor til topplasseringene i søkeresultatene i Canada.

OpenOffice-installasjonsprogrammet på et slikt falskt nettsted er en kjørbar Mars-fil pakket med Babadeda kryptor eller den Autoit bootloader.

Interessant, kort tid etter utgivelsen av Mars, en hacket versjon av skadelig programvare med instruksjoner dukket opp, som har alvorlige feil. Spesielt, den foreskriver å sette opp full tilgang (777) til hele prosjektet, inkludert katalogen med loggene til ofrene.

Loggene er en ZIP-fil som inneholder data stjålet av skadelig programvare fra brukere og lastet opp til C&C -server. Unøyaktigheten i instruksjonene har ført til at angripere feilkonfigurerer miljøet sitt, avsløre viktig informasjon til hele verden.

Det fant forskerne, som en del av kampanjen nevnt ovenfor, den stjålne informasjonen inkluderte nettleserautofylldata, data for nettleserutvidelse, bankkortinformasjon, IP adresse, landskode og tidssone.

Siden skadevareoperatøren som fulgte instruksjonene infiserte seg selv med en kopi av Mars (tilsynelatende under feilsøking), hans personlige data ble også avslørt. Denne feilberegningen tillot Morphisec-eksperter å knytte angrepene til den russisktalende brukeren, finne hans GitLab kontoer, stjålet legitimasjon som brukes til å betale for Google Ads, og mer.

Morphisec Labs-teamet rapporterer at de totalt klarte å identifisere mer enn 50 infiserte domenebrukere som kompromitterte bedriftene deres’ domenepassord. De aller fleste ofrene er studenter, lærere og innholdsskapere som lette etter legitime apper, men fikk skadevare i stedet.

La meg minne deg på at vi også snakket om det faktum mange advarer om at applikasjonen har begrenset funksjonalitet og krever innlogging via Facebook 100,000 mange advarer om at applikasjonen har begrenset funksjonalitet og krever innlogging via Facebook, og også det SharkBot Android Trojan stjeler kryptovaluta og hacker bankkontoer.