Mars Stealer adlı yeni başlatılan, bilgi çalan kötü amaçlı bir kötü amaçlı yazılım çeşidinin popülaritesi artıyor ve tehdit analistleri şimdi onu kullanan ilk kayda değer büyük ölçekli kampanyaları tespit ediyor.
Mars Stealer, 2020’de geliştirmeyi durduran Oski kötü amaçlı yazılımının yeniden tasarımı olarak ortaya çıktı. kapsamlı bilgi çalma yetenekleri geniş bir uygulama yelpazesini hedefliyor.
Hacking forumlarında 140$-160$ aralığında uygun fiyatlarla tanıtılan Mars Stealer, yakın zamana kadar yavaş yavaş büyüdü. Raccoon Stealer’ın aniden kapanması siber suçluları alternatifler aramaya zorladı.
Hizmet, Raccoon’un eskiden nasıl çalıştığına benzer bir şekilde çalıştığından, Mars Stealer, yeni kullanıcıların akınına uğradı, bu nedenle çok sayıda yeni kampanyanın sıçrama tahtası olmak üzere.
Morphisec’teki tehdit analistleri, bunlardan biri kötü amaçlı yazılımın nasıl kullanılacağına ilişkin talimatlarla birlikte dolaşan kırık bir sürümünü kullananlar da dahil olmak üzere bu yeni kampanyalardan birkaçını tespit ettiğini bildirdi.
OpenOffice kampanyası
Yeni bir Mars Stealer kampanyası Morphisec tarafından keşfedildi klonlanmış OpenOffice sitelerini Kanada arama sonuçlarında üst sıralara çıkarmak için Google Ads reklamlarını kullanıyor.
OpenOffice, bir zamanlar popüler olan açık kaynaklı bir ofis paketidir ve artık Apache vakfına aittir ve 2010’da çatalı olarak başlayan LibreOffice tarafından geride bırakılmıştır.
Bununla birlikte, OpenOffice hala ücretsiz bir belge ve elektronik tablo düzenleyicisi arayan kişilerden saygın sayıda günlük indirmeye sahiptir. Muhtemelen, tehdit aktörleri çok daha popüler olan LibreOffice’i klonlamadı çünkü bu, çok sayıda rapor nedeniyle hızlı bir yayından kaldırmaya neden olacaktı.
Sahte sitedeki OpenOffice yükleyicisi, gerçekte, Babadeda crypter veya Autoit yükleyici ile dolu bir Mars Stealer yürütülebilir dosyasıdır, bu nedenle kurbanlar bilmeden kendilerine bulaştırıyorlar.
Kırık versiyonun yapılandırma talimatlarındaki bir hata nedeniyle, operatör kurbanların ‘günlükler’ dizinini açığa çıkardı ve herhangi bir ziyaretçiye tam erişim sağladı.
Günlük, bilgi çalan bir Truva atı tarafından çalınan ve tehdit aktörlerinin komuta ve kontrol sunucularına yüklenen verileri içeren bir zip dosyasıdır.
Bu kampanyada, Mars Stealer tarafından üretilen çalıntı bilgiler, tarayıcı otomatik doldurma verilerini, tarayıcı uzantı verilerini, kredi kartlarını, IP adresini, ülke kodunu ve saat dilimini içeriyor gibi görünüyor.
Tehdit aktörü, hata ayıklama sırasında kendilerine Mars Stealer kopyası bulaştırdığından, hassas bilgileri de açığa çıktı.
Bu hata, araştırmacıların saldırıları bir Rus konuşmacıya bağlamasına ve tehdit aktörünün kimliğini keşfetmesine izin verdi. GitLab hesaplarıGoogle Ads için ödeme yapmak için kullanılan çalıntı kimlik bilgileri ve daha fazlası.
Kripto varlıkları için bir tehdit
Mars Stealer, 47’den fazla darknet sitesinde ve hack forumlarında, Telegram kanallarında ve crackli paket gibi “resmi olmayan” dağıtım yollarında tanıtılan yükselen bir tehdittir.
Morphisec, bu bilgi hırsızlarının operatörlerinin ağırlıklı olarak kripto para varlıklarına odaklandığını söylüyor.
Analiz edilen kampanyadan en çok çalınan tarayıcı eklentisi MetaMask, ardından kripto para varlıklarını yönetmek için tüm “sıcak” cüzdanlar olan Coinbase Cüzdan, Binance Cüzdan ve Matematik cüzdanı geliyor.
Morphisec ayrıca Kanada’daki bir sağlık altyapısı sağlayıcısına ait kimlik bilgilerini tespit etti ve birkaç yüksek profilli Kanada hizmet firmasında uzlaşma işaretleri gördü.
Bilgi hırsızlarına karşı korunmak için, Google Reklam sonuçlarını değil, resmi siteleri tıkladığınızdan ve başlatmadan önce her zaman AV’nizde indirilen yürütülebilir dosyaları taradığınızdan emin olun.
Yeni Mars Stealer kötü amaçlı yazılımına derin bir teknik burun dalışı arayanlar için şunları okuyabilirsiniz: 3xp0rt’nin analizi yeni kötü amaçlı yazılım varyantının.