Mars’ novi infostealer se distribuira prek oglasov OpenOffice v Googlu
Novo Mars infostealer še vedno pridobiva na priljubljenosti v skupnosti hekerjev, in analitiki že označujejo prve obsežne kampanje z njegovo uporabo.
Mars je prenovljena različica Oski zlonamerna programska oprema, ki je bila ukinjena v 2020. Zlonamerna programska oprema je zelo sposobna ukrasti podatke in napada zelo širok spekter aplikacij, vključno s priljubljenimi brskalniki, vtičniki za dvofaktorsko avtentikacijo, kot tudi številne razširitve in denarnice za delo s kriptovalutami.
Mars prav tako zbira in svojim operaterjem pošilja naslednje informacije o sistemu žrtve:
- IP naslov in država;
- pot do datoteke EXE;
- lokalni čas in časovni pas;
- sistemski jezik;
- jezikovna razporeditev tipkovnice;
- prenosnik ali namizni računalnik;
- model procesorja;
- ime računalnika;
- uporabniško ime;
- ime računalnika v domeni;
- identifikator stroja;
- GUID;
- nameščene programe in njihove različice.
Administrator Marsa
Oglašuje na številnih hekerskih forumih za med $140 in $160 za dosmrtno licenco, Mars je do nedavnega rasel precej počasi, vendar je videti kot nedavna zaustavitev Raccoon Stealer je hekerje prisilil v iskanje alternativ in pogled na Mars. Prišlo je do te mere, da so avtorji zlonamerne programske opreme zapisali, da se komaj spopadajo z navalom novih strank.
Najpogosteje, ta zlonamerna programska oprema se distribuira prek neželene e-pošte, ki vsebuje izvršljivo datoteko v arhivu, povezava za prenos, ali zlonameren dokument. Vendar, včasih se Mars distribuira tudi prek goljufivih spletnih mest. Ena od teh akcij, ki se po navalu kupcev vsekakor povečuje, so odkrili strokovnjaki pri Morphisec. Po njihovem mnenju, zlonamerna programska oprema uporablja Google Oglasi za kloniranje odprtokodnih mest OpenOffice na najvišja mesta v rezultatih iskanja v Kanadi.
Namestitveni program OpenOffice na takšnem lažnem spletnem mestu je izvršljiva datoteka Mars, ki je pakirana z Babada cryptor ali Samodejno zagonski nalagalnik.
Zanimivo, kmalu po sprostitvi Marsa, pojavila se je vdrta različica zlonamerne programske opreme z navodili, ki ima resne pomanjkljivosti. Še posebej, predpisuje vzpostavitev polnega dostopa (777) na celoten projekt, vključno z imenikom z dnevniki žrtev.
Dnevniki so datoteka ZIP, ki vsebuje podatke, ki jih je zlonamerna programska oprema ukradla uporabnikom in jih naložila v datoteko C&C strežnik. Netočnost v navodilih je povzročila, da napadalci napačno konfigurirajo svoje okolje, razkrivanje pomembnih informacij vsemu svetu.
Raziskovalci so ugotovili, da, v okviru zgoraj omenjene akcije, ukradeni podatki so vključevali podatke o samodejnem izpolnjevanju brskalnika, podatki razširitve brskalnika, podatke o bančni kartici, naslov IP, kodo države in časovni pas.
Ker se je operater zlonamerne programske opreme, ki je sledil navodilom, okužil s kopijo Marsa (očitno med odpravljanjem napak), razkriti tudi njegovi osebni podatki. Ta napačen izračun je strokovnjakom Morphisec omogočil povezavo napadov z rusko govorečim uporabnikom, najti njegovo GitLab računi, ukradene poverilnice za plačilo Google Ads, in več.
Ekipa Morphisec Labs poroča, da jim je skupno uspelo identificirati več kot 50 okuženih uporabnikov domene, ki so ogrozili svoja podjetja’ domenska gesla. Velika večina žrtev je študentov, učitelji in ustvarjalci vsebin, ki so iskali zakonite aplikacije, a namesto tega dobili zlonamerno programsko opremo.
Naj vas spomnim, da smo govorili tudi o tem, da Zlonamerna programska oprema, ki je okužena z geslom, več kot 100,000 Uporabniki prek trgovine Google Play, in tudi to SharkBot Androidov trojanec ukrade kriptovaluto in vdre v bančne račune.
