Một kẻ ăn cắp thông tin mới được gọi là Mars đã được quan sát thấy trong các chiến dịch lợi dụng các phiên bản bẻ khóa của phần mềm độc hại để lấy cắp thông tin được lưu trữ trong trình duyệt web và ví tiền điện tử.
Nhà nghiên cứu phần mềm độc hại của Morphisec, Arnold Osipov cho biết trong một báo cáo được công bố hôm thứ Ba: “Kẻ trộm sao Hỏa đang được phát tán thông qua các kỹ thuật xã hội, chiến dịch malspam, phần mềm độc hại bẻ khóa và keygens”.
Dựa trên Oski Stealer và được phát hiện lần đầu tiên vào tháng 6 năm 2021, Mars Stealer được cho là đang liên tục được phát triển và có sẵn để bán trên 47 diễn đàn ngầm, trang darknet và kênh Telegram, chỉ với giá 160 đô la cho một đăng ký trọn đời.
Những kẻ đánh cắp thông tin cho phép kẻ thù hút sạch thông tin cá nhân khỏi các hệ thống bị xâm nhập, bao gồm thông tin đăng nhập được lưu trữ và cookie trình duyệt, sau đó được bán trên các thị trường tội phạm hoặc được sử dụng làm bàn đạp để phát động các cuộc tấn công tiếp theo.
Việc phát hành Mars Stealer vào năm ngoái cũng đi kèm với sự gia tăng ổn định của các chiến dịch tấn công, một số trong số đó có liên quan đến việc sử dụng phiên bản bẻ khóa của phần mềm độc hại đã được cấu hình theo cách mà nó đã làm lộ các tài sản quan trọng trên internet. , vô tình làm rò rỉ thông tin chi tiết về cơ sở hạ tầng của tác nhân đe dọa.
Cũng đáng chú ý là một chiến dịch được quan sát vào tháng trước đã hút mật khẩu của sinh viên, giảng viên và nhà sản xuất nội dung đã tải xuống các phiên bản trojanized của các ứng dụng hợp pháp.
Trên hết, công ty an ninh mạng lưu ý rằng họ đã “xác định các thông tin xác thực dẫn đến sự thỏa hiệp hoàn toàn của một nhà cung cấp cơ sở hạ tầng chăm sóc sức khỏe hàng đầu ở Canada và một số công ty dịch vụ nổi tiếng của Canada.”
Mặc dù Mars Stealer được phát tán phổ biến nhất qua tin nhắn email spam có chứa tệp thực thi nén, liên kết tải xuống hoặc tải trọng tài liệu, nhưng nó cũng được phát tán qua các trang web nhân bản gian lận quảng cáo phần mềm nổi tiếng như OpenOffice sau đó được đẩy qua Google Ads.
Mục đích là tận dụng các quảng cáo được nhắm mục tiêu theo địa lý để lừa những nạn nhân tiềm năng đang tìm kiếm phần mềm gốc thay vào đó truy cập vào một trang web độc hại, cuối cùng dẫn đến việc triển khai phần mềm độc hại.
Về phần mình, Mars Stealer được thiết kế để thu thập và lọc dữ liệu tự động điền của trình duyệt, thông tin thẻ tín dụng, chi tiết tiện ích mở rộng trình duyệt, bao gồm cả thông tin của các ví tiền điện tử như Metamask, Coinbase Wallet, Binance Wallet và siêu dữ liệu hệ thống.
Nhưng do tác nhân đe dọa đã xâm nhập máy của họ với Mars Stealer trong quá trình gỡ lỗi, nên sai lầm của OPSEC đã cho phép các nhà nghiên cứu gán chiến dịch cho một người nói tiếng Nga cũng như phát hiện ra chi tiết về việc đối thủ sử dụng GitLab và thông tin đăng nhập bị đánh cắp để đặt Google Ads.
Osipov cho biết: “Những kẻ lừa đảo cung cấp một lối vào có thể truy cập được cho hoạt động tội phạm,” Osipov nói, thêm vào các công cụ như vậy “trao quyền cho tội phạm mạng mới làm quen để xây dựng danh tiếng mà chúng có thể tận dụng để thu được phần mềm độc hại mạnh hơn từ những kẻ tinh vi hơn.”
.
