Onderzoekers onthullen malwarecampagne voor Mars Stealer met behulp van Google-advertenties om zich te verspreiden

Mars Stealer-malware Nachrichten

Een opkomende informatie-stealer genaamd Mars is waargenomen in campagnes die gebruik maken van gekraakte versies van de malware om informatie te stelen die is opgeslagen in webbrowsers en cryptocurrency-portefeuilles.

„Mars Stealer wordt verspreid via social engineering-technieken, malspam-campagnes, kwaadaardige software-cracks en keygens“, aldus Arnold Osipov, malware-onderzoeker van Morphisec. zei in een dinsdag gepubliceerd rapport.

Gebaseerd op de Oski Stealer en voor het eerst ontdekt in juni 2021, Mars Stealer Er wordt gezegd dat het constant in ontwikkeling is en beschikbaar is voor verkoop op meer dan 47 ondergrondse forums, darknet-sites en Telegram-kanalen, die slechts $ 160 kosten voor een levenslang abonnement.

Met informatiestelers kunnen kwaadwillenden persoonlijke informatie opzuigen uit gecompromitteerde systemen, inclusief opgeslagen inloggegevens en browsercookies, die vervolgens worden verkocht op criminele marktplaatsen of worden gebruikt als springplank voor het lanceren van verdere aanvallen.

De release van Mars Stealer vorig jaar ging ook gepaard met een gestage toename van aanvalscampagnes, waarvan sommige het gebruik van een gekraakte versie van de malware die zo is geconfigureerd dat kritieke activa op internet zijn blootgesteld. , waardoor per ongeluk details over de infrastructuur van de dreigingsactor worden gelekt.

Mars Stealer-malware

Ook opmerkelijk is een campagne die vorige maand werd waargenomen en die de wachtwoorden van studenten, faculteitsleden en inhoudmakers die getrojaniseerde versies van legitieme applicaties hebben gedownload, overhevelde.

Bovendien merkte het cyberbeveiligingsbedrijf op dat het „inloggegevens identificeerde die leidden tot het volledige compromitteren van een toonaangevende aanbieder van zorginfrastructuur in Canada en een aantal vooraanstaande Canadese servicebedrijven.“

Hoewel Mars Stealer meestal wordt verspreid via spam-e-mailberichten die een gecomprimeerd uitvoerbaar bestand, downloadlink of documentlading bevatten, wordt het ook verspreid via frauduleuze gekloonde websites die reclame maken voor bekende software zoals OpenOffice die vervolgens via Google Ads werd gepusht.

Het doel is om geografisch gerichte advertenties te gebruiken om potentiële slachtoffers die op zoek zijn naar de originele software te misleiden om in plaats daarvan een kwaadaardige site te bezoeken, wat uiteindelijk leidt tot de implementatie van de malware.

Mars Stealer is van zijn kant ontworpen om gegevens voor automatisch aanvullen van browsers, creditcardgegevens, details van browserextensies, waaronder die van cryptocurrency-wallets zoals Metamask, Coinbase Wallet en Binance Wallet, en systeemmetadata te verzamelen en te exfiltreren.

Maar omdat de dreigingsactor tijdens het debuggen hun eigen machine met de Mars Stealer heeft gecompromitteerd, stelde de OPSEC-fout de onderzoekers in staat de campagne toe te schrijven aan een Russisch spreker en details te ontdekken over het gebruik van GitLab door de tegenstander en gestolen inloggegevens om Google Ads te plaatsen.

„Infostealers bieden een toegankelijke toegangspoort tot criminele activiteiten,“ zei Osipov, terwijl hij dergelijke tools toevoegde „beginnende cybercriminelen in staat te stellen een reputatie op te bouwen die ze kunnen gebruiken om krachtigere malware te verwerven van meer geavanceerde actoren.“

David
Rate author
Hackarizona