Mars Stealer

Un puissant malware infostealer nommé Mars Stealer est proposé aux cybercriminels sur les forums de hackers russophones. L'acteur de la menace peut soit acheter la version de base du Mars Stealer pour 140 $, soit choisir de payer 20 $ de plus et obtenir la variante étendue. Grâce à une analyse effectuée par le chercheur en sécurité @3xp0rt, il a été déterminé que, pour l'essentiel, Mars Stealer est une refonte d'un malware similaire nommé Oski dont le développement a été arrêté au milieu de 2020.brusquement.

Fonctions menaçantes

Le Mars Stealer peut cibler plus de 100 applications différentes et en obtenir des informations privées sensibles. Tout d'abord, un outil de saisie personnalisé récupère la configuration de la menace à partir du serveur de commande et de contrôle (C2, C&C) de l'opération. Ensuite, le Mars Stealer extraira les données des navigateurs Web les plus populaires, des applications 2FA (Two-Factor Authentication), des extensions cryptographiques et des portefeuilles cryptographiques.

Parmi les applications concernéesLes applications sont Chrome, Internet Explorer, Edge (Chromium Version), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core et ses dérivés, Ethereum, Electrum et bien d'autres . Des informations système supplémentaires sont également capturées et exfiltrées par la menace. Ces détails incluent l'adresse IP, le pays, l'heure locale et le fuseau horaire, la langue, la disposition du clavier, le nom d'utilisateur, le nom de l'ordinateur de domaine, l'ID de la machine, le GUID, le logiciel installé sur l'appareil, etc.

Techniques anti-détection et d'évasion

Le Mars Stealer est conçu pour minimiser son empreinte sur les appareils infectés. La menace est équipée d'un essuie-glace personnalisé qui peut être activé après la collecte des données ciblées ou chaque fois que les attaquants décident de le faire. Pour rendre la détection plus difficile, le malware utilise des routines chargées de masquer ses appels API, ainsi qu'un cryptage fort avec une combinaison de RC4 et Base64. De plus, la communication avec le C2 se fait via le protocole SSL (Secure Sockets Layer) et est donc également cryptée.

Le Mars Stealer effectue plusieurs vérifications et si certains paramètres sont remplis, la menace ne s'activera pas. Par exemple, si l'ID de langue de l'appareil piraté correspond à l'un des pays suivants : Russie, Azerbaïdjan, Biélorussie, Ouzbékistan et Kazakhstan, Mars Stealer mettra fin à son exécution. La même chose se produira également si la date de compilation est antérieure d'un mois à l'heure système.