Mars Stealer

Mars Stealerという名前の強力なinfostealerマルウェアが、ロシア語を話すハッカーフォーラムでサイバー犯罪者に提供されています。攻撃者は、火星スティーラーの基本バージョンを140ドルで購入するか、さらに20ドルを支払って拡張バリアントを入手することを選択できます。セキュリティ研究者@ 3xp0rtが行った分析のおかげで、火星スティーラーは、ほとんどの場合、2020年半ばに開発が停止されたOskiという名前の同様のマルウェアの再設計であることが判明しました。突然。

脅迫機能

Mars Stealerは、100を超えるさまざまなアプリケーションをターゲットにして、それらから機密性の高い個人情報を取得できます。まず、カスタムグラバーが、操作のコマンドアンドコントロール（C2、C＆C）サーバーから脅威の構成をフェッチします。その後、Mars Stealerは、最も人気のあるWebブラウザー、2FA（Two-Factor Authentication）アプリケーション、暗号拡張機能、および暗号ウォレットからデータを抽出します。

影響を受けるアプリの中でライケーションは、Chrome、Internet Explorer、Edge（Chromiumバージョン）、Opera、Sputnik Browser、Vivaldi、Brave、Firefox、Authenticator、GAuth Authenticator、MetaMAsk、Binance、Coinbase Wallet、Coinomi、Bitcoin Coreとその派生物、Ethereum、Electrumなどです。 。追加のシステム情報も、脅威によってキャプチャされ、盗み出されます。これらの詳細には、IPアドレス、国、現地の時間とタイムゾーン、言語、キーボードレイアウト、ユーザー名、ドメインコンピューター名、マシンID、GUID、デバイスにインストールされているソフトウェアなどが含まれます。

検出防止および回避技術

Mars Stealerは、感染したデバイスへのフットプリントを最小限に抑えるように設計されています。脅威には、ターゲットデータが収集された後、または攻撃者が収集することを決定したときにアクティブ化できるカスタムワイパーが装備されています。検出をより困難にするために、マルウェアはAPI呼び出しを非表示にするタスクを実行するルーチンと、RC4とBase64の組み合わせによる強力な暗号化を利用します。さらに、C2との通信はSSL（Secure Sockets Layer）プロトコルを介して行われるため、暗号化されます。

火星スティーラーはいくつかのチェックを実行し、特定のパラメーターが満たされた場合、脅威はアクティブになりません。たとえば、侵害されたデバイスの言語IDが、ロシア、アゼルバイジャン、ベラルーシ、ウズベキスタン、カザフスタンのいずれかの国と一致する場合、火星スティーラーはその実行を終了します。コンパイル日がシステム時刻から1か月以上経過している場合も、同じことが起こります。