Mars Stealer adı verilen kötü amaçlı yazılım varyantı, popülerlik artıyor ve tehdit analistleri şimdi kullanan ilk dikkat çekici büyük ölçekli kampanyaları tespit ediyor.
Mars Stealer, 2020'de gelişimi kapatan OSKI kötü amaçlı yazılımın yeniden tasarlanmasıyla ortaya çıktı ve geniş bir uygulama yelpazesini hedefleyen kapsamlı bilgi çalma yeteneklerine sahip.
140 $-160 $ aralığında uygun fiyatlarla forumları hacklemeye teşvik etti, Mars Stealer yakın zamana kadar yavaşça büyüdü, ani Raccoon Stealer'ın kapatılması, cibercriminalleri alternatifler aramaya zorladı.
Mars Stealer, yeni bir kullanıcının bir akını tarafından boğulmuş, çünkü hizmet, Rakun'un nasıl çalıştığına benzer şekilde çalıştığı için, bu yüzden çok sayıda yeni kampanyanın sıçrama tahtası olmak üzere.
MorphiSec Raporu'ndaki tehdit analistleri, bu yeni kampanyaların birçoğunu tespit etti, biri, nasıl kullanılacağına ilişkin talimatlarla dolaşan kötü amaçlı yazılımın kırık bir versiyonunu kullanarak.
Morphisec tarafından ortaya çıkan yeni Mars Stealer kampanyası, Google reklamlarını Canadian arama sonuçlarında yüksek klonlanmış OpenOffice sitelerini sıralamak için reklamını kullanmaktır.
OpenOffice, şimdi Apache Vakfı'na ait bir zamanlar popüler bir açık kaynaklı ofis paketidir ve 2010 yılında çatal olarak başlayan LibreOffice tarafından aşılmıştır.
Bununla birlikte, OpenOffice, ücretsiz bir belge ve elektronik tablo editörü alan insanlardan saygın sayıda günlük indirmelere sahiptir. Muhtemelen, tehdit aktörleri çok daha popüler libreoffice'i klişlerdi, çünkü bu sayısız rapor nedeniyle hızlı bir şekilde düşüşe neden olurdu.
Phony sitesi üzerindeki OpenOffice Installer, gerçeklikte, Babadeda Crypter veya AutoIt yükleyici ile dolu bir Mars Stealer çalıştırılabilir bir Mars, bu nedenle mağdurlar bilmeden kendilerini enfekte ediyorlar.
Çatlak sürümün yapılandırma talimatlarındaki bir hata nedeniyle, operatör mağdurların 'günlükler' dizinini göstererek herhangi bir ziyaretçiye tam erişim sağladı.
Bir günlük, bir bilgi çalma Trojan tarafından çalınan ve tehdit aktörlerinin komuta ve kontrol sunucularına yüklenen verileri içeren bir zip dosyasıdır.
Bu kampanyada, Mars Stealer tarafından üretilen çalınan bilgiler, tarayıcı otomatik doldurma verileri, tarayıcı uzatma verileri, kredi kartları, IP adresi, ülke kodu ve zaman dilimini içerdiği görülmektedir.
Tehdit oyuncusu, hata ayıklama sırasında Mars Stealer'ın kopyalarıyla kendilerini enfekte ettiğinden, hassas bilgiler de maruz kaldı.
Bu hata, araştırmacıların saldırılarını Rus hoparlörüne atfetmelerini ve tehdit aktörünün Gitlab hesaplarını keşfetmelerini, Google reklamlarını ödemek için kullanılan çalınan kimlik bilgilerini ve daha fazlasını keşfetmelerini sağlamıştır.
Mars Stealer, 47'den fazla Darknet sitesinde tanıtılan ve forumları, telgraf kanallarını ve çatlak paketi gibi "gayri resmi" dağıtım yollarını hacklemeden yükselen bir tehdittir.
MorphiseC, bu bilgi istekli operatörlerinin operatörlerinin ağırlıklı bir şekilde kriptocurrency varlıklarına odaklandığını söylüyor.
Analiz edilen kampanyadan en çok çalınan tarayıcı eklentisi, Metamask, ardından Coinbase Cüzdanı, Biname Cüzdanı ve Matematik Cüzdanı, Cryptocurrency varlıklarını yönetmek için tüm "sıcak" cüzdanlardır.
Morphesec, Kanada'daki bir sağlık altyapısı sağlayıcısına ait kimlik bilgilerini belirledi ve birçok yüksek profilli Kanada servis firması üzerinde uzlaşma belirtileri gördü.
Bilgi istirdeleyicilerine karşı korumak için, Google reklam sonuçlarını değil, resmi sitelere tıklamanız ve fırlatma öncesi AV'nizdeki indirilen yürütülebilir dosyaları taradığınızdan emin olun.
Yeni Mars Stealer Malware'e derin bir teknik burun dalışı arayanlar için, 3XP0RT'nin yeni kötü amaçlı yazılım varyantı analizini okuyabilirsiniz.
Raccoon Stealer Kötü Amaçlı Yazılım Ukrayna'daki Savaş nedeniyle Operasyonları Askıya Alın
Youtube'daki sahte oyuk hileleri, sizi Redline Stealer ile bulaştırdı.
Güvenlik aracı olarak gizlenmiş kötü amaçlı yazılım Ukrayna'nın BT Ordusunu hedefliyor
Jester Stealer Malware Hacker'ları başlatmak için daha fazla yetenek ekliyor
Güçlü Yeni Oski Varyant 'Mars Stealer' 2FAS ve Crypto Kapma
Kaynak: Bleeping Computer