Mars Stealer

Un poderoso malware de robo de información llamado Mars Stealer se ofrece a los ciberdelincuentes en foros de hackers de habla rusa. El actor de amenazas puede comprar la versión básica de Mars Stealer por $ 140 u optar por pagar $ 20 más y obtener la variante extendida. Gracias a un análisis realizado por el investigador de seguridad @3xp0rt, se determinó que, en su mayor parte, Mars Stealer es un rediseño de un malware similar llamado Oski cuyo desarrollo se cerró a mediados de 2020.abruptamente.

Funciones amenazantes

Mars Stealer puede apuntar a más de 100 aplicaciones diferentes y obtener información privada confidencial de ellas. Primero, un capturador personalizado obtiene la configuración de la amenaza del servidor de comando y control (C2, C&C) de la operación. Posteriormente, Mars Stealer extraerá datos de los navegadores web más populares, aplicaciones 2FA (autenticación de dos factores), extensiones criptográficas y billeteras criptográficas.

Entre las aplicaciones afectadasLas aplicaciones son Chrome, Internet Explorer, Edge (versión Chromium), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core y sus derivados, Ethereum, Electrum y muchos más. . La información adicional del sistema también es capturada y filtrada por la amenaza. Estos detalles incluyen la dirección IP, el país, la hora local y la zona horaria, el idioma, la distribución del teclado, el nombre de usuario, el nombre de la computadora del dominio, la ID de la máquina, el GUID, el software instalado en el dispositivo, etc.

Técnicas de Anti-Detección y Evasión

El Mars Stealer está diseñado para minimizar su huella en los dispositivos infectados. La amenaza está equipada con un limpiador personalizado que se puede activar después de que se hayan recopilado los datos específicos o cuando los atacantes decidan hacerlo. Para dificultar la detección, el malware utiliza rutinas encargadas de ocultar sus llamadas API, así como un cifrado sólido con una combinación de RC4 y Base64. Además, la comunicación con el C2 se realiza a través del protocolo SSL (Secure Sockets Layer) y, por lo tanto, también está encriptada.

El Mars Stealer realiza varias comprobaciones y, si se cumplen ciertos parámetros, la amenaza no se activará. Por ejemplo, si la ID de idioma del dispositivo violado coincide con cualquiera de los siguientes países: Rusia, Azerbaiyán, Bielorrusia, Uzbekistán y Kazajstán, Mars Stealer terminará su ejecución. Lo mismo ocurrirá si la fecha de compilación es anterior a un mes desde la hora del sistema.