Ένα νέο malware (κακόβουλο λογισμικό) εμφανίστηκε, εν ονόματι Mars Stealer, το οποίο είναι παραλλαγή του κακόβουλου λογισμικού Oski και σταμάτησε την ανάπτυξη του ξαφνικά το καλοκαίρι του 2020. Έναν χρόνο μετά τον τερματισμό της ανάπτυξης του Oski, το Mars Stealer άρχισε να διαφημίζεται σε Ρώσικα hacking φόρουμ. Το Mars Stealer κλέβει πληροφορία από πολλούς φυλλομετρητές, 2FA plugins και πολλαπλές επεκτάσεις κρυπτονομισμάτων. Επιπλέον, το malware μπορεί να εξάγει αρχεία από το μολυσμένο σύστημα και βασίζεται στον δικό του loader και wiper, που ελαχιστοποιεί το αποτύπωμα της ύπαρξής του.
Δείτε επίσης: XLoader malware: Κλέβει logins από Windows και macOS συστήματα
Το Mars Stealer χρησιμοποιεί ένα προσαρμοσμένο grabber που ανακτά την διαμόρφωσή του από το C2 και στοχεύει τις παρακάτω εφαρμογές:
- Φυλλομετρητές: Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.
- 2FA εφαρμογές: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.
- Επεκτάσεις Crypto: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, Neoline, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.
- Πορτοφόλια Crypto: Bitcoin Core, Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.
Επιπρόσθετα το malware αυτό δεσμεύει και στέλνει στο c2 τις ακόλουθες πληροφορίες:
- IP και χώρα
- Λειτουργική διαδρομή στο αρχείο EXE
- Τοπική ώρα και ζώνη ώρας
- Γλώσσα συστήματος
- Τη διάταξη της γλώσσας του πληκτρολογίου
- Το notebook ή τον επιτραπέζιο υπολογιστή
- Το μοντέλο του επεξεργαστή
- Το όνομα του υπολογιστή
- Το όνομα του user
- Το όνομα του domain του υπολογιστή
- Το ID του υπολογιστή
- Το GUID
- Τα εγκατεστημένα προγράμματα και τις εκδόσεις τους.
Το μόνο που δεν συμπεριλαμβάνεται στην παραπάνω λίστα είναι το Outlook το οποίο πιθανότατα θα προστεθεί σε μελλοντικές εκδόσεις του malware.
Δείτε επίσης: Huawei Cloud: Στόχος ενημερωμένου malware cryptomining
Το Mars Stealer είναι μόλις 95KB στο μέγεθος του και πωλείται σε Ρωσικά hacking forums για 140-160 δολάρια. Καταφέρνει να αποφύγει την ασφάλεια του υπολογιστή χρησιμοποιώντας ρουτίνες που κρύβουν κλήσεις API και τεχνικές κρυπτογράφησης συμβολοσειρών χρησιμοποιώντας έναν συνδυασμό RC4 και Base64. Επίσης, όλες οι συνδέσεις που πραγματοποιεί με τον C2 είναι κρυπτογραφημένες και ανά τακτά χρονικά διαστήματα αναστέλλει την λειτουργεία του για να πραγματοποιήσει ελέγχους χρονισμού που δεν θα μπορούσαν να εντοπιστούν από έναν debugger. Τέλος, το λογισμικό μπορεί να διαγραφτεί από μόνο του όταν συλλέξει όλα τα δεδομένα ή όταν ο χειριστής το αποφασίσει.
Επίσης αν το ID της γλώσσας του υπολογιστή ανήκει σε χώρα που ιστορικά είναι κομμάτι του CIS, το Mars Stealer τερματίζει τον εαυτό του χωρίς να συλλέξει πληροφορία. Κάτι ακόμα που είναι αναγκαίο για να λειτουργήσει το malware, είναι το γεγονός ότι πρέπει να έχει συνταχθεί εντός ενός μήνα απο την ημερομηνία του συστήματος που προσπαθεί να «μπει», αλλιώς τερματίζει και πάλι την λειτουργία του.
Πηγή πληροφοριών: bleepingcomputer.com
