Mars Stealer

Eine mächtige Infostealer-Malware namens Mars Stealer wird Cyberkriminellen in russischsprachigen Hackerforen angeboten. Der Bedrohungsakteur kann entweder die Basisversion des Mars Stealer für 140 US-Dollar kaufen oder sich dafür entscheiden, 20 US-Dollar mehr zu zahlen und die erweiterte Variante zu erhalten. Dank einer Analyse des Sicherheitsforschers @3xp0rt wurde festgestellt, dass der Mars Stealer größtenteils ein Redesign einer ähnlichen Malware namens Oski ist, deren Entwicklung Mitte 2020 plötzlich eingestellt wurde.

Bedrohliche Funktionen

Der Mars Stealer kann auf über 100 verschiedene Anwendungen abzielen und vertrauliche private Informationen von ihnen erhalten. Zunächst ruft ein benutzerdefinierter Grabber die Konfiguration der Bedrohung vom Command-and-Control-Server (C2, C&C) der Operation ab. Anschließend extrahiert der Mars Stealer Daten aus den gängigsten Webbrowsern, 2FA-Anwendungen (Zwei-Faktor-Authentifizierung), Krypto-Erweiterungen und Krypto-Wallets.

Zu den betroffenen Anwendungen sind Chrome, Internet Explorer, Edge (Chromium-Version), Opera, Sputnik Browser, Vivaldi, Brave, Firefox, Authenticator, GAuth Authenticator, MetaMAsk, Binance, Coinbase Wallet, Coinomi, Bitcoin Core und seine Derivate, Ethereum, Electrum und viele mehr. Zusätzliche Systeminformationen werden ebenfalls von der Bedrohung erfasst und exfiltriert. Zu diesen Details gehören die IP-Adresse, das Land, die Ortszeit und Zeitzone, die Sprache, das Tastaturlayout, der Benutzername, der Name des Domänencomputers, die Maschinen-ID, die GUID, die auf dem Gerät installierte Software usw.

Anti-Erkennungs- und Umgehungstechniken

Der Mars Stealer wurde entwickelt, um seinen Fußabdruck auf infizierten Geräten zu minimieren. Die Bedrohung ist mit einem benutzerdefinierten Wiper ausgestattet, der aktiviert werden kann, nachdem die gezielten Daten gesammelt wurden oder wann immer die Angreifer sich dafür entscheiden. Um die Erkennung zu erschweren, verwendet die Malware Routinen, die ihre API-Aufrufe verbergen sollen, sowie eine starke Verschlüsselung mit einer Kombination aus RC4 und Base64. Außerdem erfolgt die Kommunikation mit dem C2 über das SSL-Protokoll (Secure Sockets Layer) und ist somit ebenfalls verschlüsselt.

Der Mars Stealer führt mehrere Prüfungen durch und wenn bestimmte Parameter erfüllt sind, wird die Bedrohung nicht aktiviert. Wenn beispielsweise die Sprach-ID des angegriffenen Geräts mit einem der folgenden Länder übereinstimmt – Russland, Aserbaidschan, Weißrussland, Usbekistan und Kasachstan – beendet der Mars Stealer seine Ausführung. Dasselbe passiert auch, wenn das Erstellungsdatum älter als ein Monat von der Systemzeit ist.