ΑρχικήsecurityΤο Mars Stealer malware διανέμεται μέσω διαφημίσεων του OpenOffice στη Google

Το Mars Stealer malware διανέμεται μέσω διαφημίσεων του OpenOffice στη Google

Ερευνητές ανακάλυψαν ότι το νέο Mars Stealer malware διανέμεται μέσω διαφημίσεων του OpenOffice στη Google.

Το Mars Stealer, μια σχετικά νέα παραλλαγή malware που κλέβει πληροφορίες, χρησιμοποιείται όλο και περισσότερο σε επιθέσεις. Αναλυτές απειλών εντοπίζουν τώρα τις πρώτες εκστρατείες μεγάλης κλίμακας που χρησιμοποιούν το malware.

Δείτε επίσης: Η Europol εξαρθρώνει μαζική επιχείρηση επενδυτικής απάτης

Το Mars Stealer ανακαλύφθηκε τον Ιούνιο του 2021, ως μια επανασχεδιασμένη έκδοση του Oski malware που σταμάτησε να λειτουργεί το 2020. Η νέα έκδοση (Mars Stealer) περιλαμβάνει περισσότερες δυνατότητες κλοπής πληροφοριών που στοχεύουν ένα ευρύ φάσμα εφαρμογών.

Mars Stealer OpenOffice

Το malware άρχισε να προωθείται σε hacking forums σε προσιτές τιμές ($140-$160). Αρχικά, δεν ήταν τόσο δημοφιλές, αλλά η απότομη απόσυρση του Raccoon Stealer ανάγκασε τους εγκληματίες του κυβερνοχώρου να αναζητήσουν εναλλακτικές λύσεις.

Όλο και περισσότεροι κακόβουλοι χρήστες άρχισαν να χρησιμοποιούν το Mars Stealer και οι ερευνητές πιστεύουν ότι θα χρησιμοποιηθεί σε πολλές hacking εκστρατείες. Το Mars Stealer διανέμεται μέσω τεχνικών social engineering, malspam εκστρατειών, software cracks και keygens.

Για παράδειγμα, οι αναλυτές απειλών της Morphisec αναφέρουν ότι εντόπισαν αρκετές από αυτές τις νέες καμπάνιες, συμπεριλαμβανομένης μιας που χρησιμοποιεί μια cracked version του κακόβουλου λογισμικού που κυκλοφορεί με οδηγίες για τον τρόπο χρήσης του.

Mars Stealer: Καμπάνια OpenOffice

Σύμφωνα με τη Morphisec, μια νέα καμπάνια διανομής του Mars Stealer χρησιμοποιεί διαφημίσεις Google Ads για να κατατάξει κλωνοποιημένα sites του OpenOffice, ψηλά στα αποτελέσματα αναζήτησης του Καναδά.

Το OpenOffice ήταν κάποτε μια δημοφιλής open-source office suite που τώρα ανήκει στο Apache foundation και έχει σχεδόν αντικατασταθεί από το LibreOffice, το οποίο ξεκίνησε ως fork το 2010.

Δείτε επίσης: Verblecon malware: Χρησιμοποιείται σε επιθέσεις εξόρυξης κρυπτονομισμάτων

Ωστόσο, το OpenOffice εξακολουθεί να έχει έναν αξιοσέβαστο αριθμό καθημερινών λήψεων από άτομα που αναζητούν δωρεάν πρόγραμμα επεξεργασίας εγγράφων και υπολογιστικών φύλλων. Πιθανότατα, οι χειριστές του Mars Stealer δεν κλωνοποίησαν το πιο δημοφιλές LibreOffice, επειδή αυτό θα είχε ως αποτέλεσμα μια γρήγορη κατάργηση λόγω πολυάριθμων αναφορών χρηστών.

Σύμφωνα με τους ερευνητές της Morphisec, το πρόγραμμα εγκατάστασης του OpenOffice στο ψεύτικο site του OpenOffice είναι, στην πραγματικότητα, ένα Mars Stealer executable μαζί με το Babadeda crypter ή το Autoit loader.

Λόγω ενός λάθους στις οδηγίες διαμόρφωσης της cracked έκδοσης, ο χειριστής έχει αποκαλύψει τον κατάλογο «logs» των θυμάτων, δίνοντας πλήρη πρόσβαση σε οποιονδήποτε επισκέπτη. Ένα log είναι ένα αρχείο zip που περιέχει δεδομένα που έχουν κλαπεί μέσω ενός trojan και έχουν μεταφορτωθεί σε command and control servers των επιτιθέμενων.

Σε αυτήν την καμπάνια, οι κλεμμένες πληροφορίες που παράγονται από το Mars Stealer φαίνεται να περιέχουν στοιχεία, όπως browser auto-fill data, browser extension data, πιστωτικές κάρτες, διεύθυνση IP, κωδικό χώρας και ζώνη ώρας.

Οι χειριστές μολύνθηκαν επίσης με το αντίγραφο του Mars Stealer κατά τη διάρκεια του debugging, και έτσι αποκαλύφθηκαν και οι δικές τους πληροφορίες.

Δείτε επίσης: SunCrypt ransomware: Νέα έκδοση με περισσότερες δυνατότητες

Αυτό το λάθος επέτρεψε στους ερευνητές να αποδώσουν τις επιθέσεις σε έναν Ρωσόφωνο χρήστη και να ανακαλύψουν GitLab accounts του επιτιθέμενου, κλεμμένα credentials που χρησιμοποιούνται για την πληρωμή για το Google Ads και πολλά άλλα.

Mars Stealer: Μια νέα απειλή για τα crypto assets;

Οι αναλυτές απειλών πιστεύουν ότι το Mars Stealer είναι μια ανερχόμενη απειλή, καθώς το malware προωθείται σε περισσότερα από 47 darknet sites και hacking forums, σε Telegram channels και άλλα «ανεπίσημα» κανάλια διανομής, όπως το cracked pack.

Η Morphisec λέει ότι οι χειριστές αυτών των info-stealers επικεντρώνονται σε μεγάλο βαθμό σε crypto assets.

Για να προστατευτείτε από τέτοια malware, βεβαιωθείτε ότι ανοίγετε επίσημα sites και όχι τα αποτελέσματα του Google Ad.

Περισσότερες λεπτομέρειες για το Mars Stealer malware και τη λειτουργία του, μπορείτε να διαβάσετε στην ανάλυση του 3xp0rt.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS