Os cibercriminosos que tentam frustrar o malware Mars Stealer em usuários aparentemente têm uma tendência para uma tática particulada: disfarçá-lo como software legítimo e benigno para enganar os usuários para baixá-lo.
Dois campistas de entrega documentados do Mars Stealer
Em uma campanha recente descrita pelo pesquisador de malware Da Morphisec Arnold Osipov, o ator de ameaças distribuiu o malware através de sites clonados que oferecem softwares conhecidos, como o Apache Open Office.
O acampamento vitimou estudantes, professores e fabricantes de conteúdo em busca de aplicações legítimas, bem como várias empresas no Canadá.
O ator de ameaça tinha como alvo canadenses usando anúncios geograficamente direcionados ao Google, que apontavam para o site clonado:
“O ator está pagando por essas campanhas do Google Ads usando informações roubadas”, observou Osipov.
Em outra campanha, documentada pelo CERT ucraniano, um ator de ameaças está empurrando o malware através de e-mails se passando pelo Ministério da Educação e Ciência da Ucrânia, oferecendo “um novo programa para escrever na revista” para cidadãos e organizações ucranianas.
“O texto do e-mail contém uma mensagem, supostamente, do Ministério da Educação e Ciência da Ucrânia sobre ‘revistas de e-learning’, bem como um link para o ‘programa’ e uma senha para o arquivo. Se você abrir o arquivo e executar o arquivo EXE, o computador será afetado por malware, que, de acordo com um conjunto de rótulos (apesar de algumas diferenças), é classificado como Mars Stealer”, alertou o CERT-UA.
Capacidades do Mars Stealer
Mars Stealer é relativamente novo malware baseado no Oski Stealer. Como descrito por um analista de malware que atende pelo handle on-line 3xp0rt, ele é capaz de obter informações do sistema, arquivos e credenciais de autenticação de navegadores populares da internet, extensões 2FA e cripto em navegadores baseados em Chromium e carteiras cripto.
3xp0rt também observou o recurso do malware para evitar a infecção de máquinas da Comunidade dos Estados Independentes (CIS), mas o CERT-UA diz que a função foi desativada na variante analisada.
O pesquisador da Morphisec conseguiu descobrir muitas particularidades sobre essa campanha específica porque o ator de ameaças aparentemente usou uma versão rachada do malware e instruções de configuração do ambiente falho, o que lhes permitiu tomar um pico “atrás da cortina” acessando o servidor C2 do invasor.
Além disso, o ator de ameaças comprometeu seu próprio computador com o Mars Stealer enquanto depuravam, então eles coletaram ainda mais informações que os levam à conta do GitLab do ator e à descoberta de que o ator de ameaça é um orador russo.
As chances são boas, porém, de que ambas as campanhas tenham sido montadas por atores de ameaças oportunistas e com motivação financeira. Afinal, Mars Stealer pode ser comprado em muitos fóruns subterrâneos, sites de cebola e canais do Telegram, por apenas US$ 160.
FONTE: HELPNET SECURITY