Le malware Mars Stealer diffusé via des publicités OpenOffice sur Google

  • Principal
  • Nouvelles
  • Le malware Mars Stealer diffusé via des publicités OpenOffice sur Google

Une variante de logiciel malveillant de vol d'informations récemment publiée appelée Mars Stealer gagne en popularité, et les analystes des menaces détectent maintenant les premières campagnes notables à grande échelle qui l'utilisent.

Mars Stealer est apparu comme une refonte du logiciel malveillant Oski qui a mis fin au développement en 2020, avec des capacités étendues de vol d'informations ciblant un large éventail d'applications.

Vanté sur les forums de piratage à des prix abordables entre 140 et 160 dollars, Mars Stealer a connu une croissance lente jusqu'à récemment, lorsque la fermeture brutale de Raccoon Stealer a forcé les cybercriminels à rechercher des alternatives.

Mars Stealer a été submergé par l'afflux de nouveaux utilisateurs, car le service fonctionne de la même manière que Raccoon, il est donc sur le point de devenir le tremplin pour de nombreuses nouvelles campagnes.

Le développeur de Mars Stealer submergé par les nouvelles demandes

Le développeur de Mars Stealer submergé par les nouvelles demandes

Les analystes des menaces de Morphisec rapportent avoir repéré plusieurs de ces nouvelles campagnes, dont une qui utilise une version fissurée du logiciel malveillant qui circule avec des instructions sur la façon de l'utiliser.

Campagne Open Office

Une nouvelle campagne Mars Stealer découverte par Morphisec utilise Google Ads pour classer les sites clones OpenOffice en tête des résultats de recherche canadiens.

Empoisonnement des résultats de recherche Google avec des publicités malveillantes

Empoisonnement des résultats de recherche Google avec des publicités malveillantes (Morphisec)

OpenOffice est une suite bureautique open source autrefois populaire qui appartient maintenant à la fondation Apache et a été remplacée par LibreOffice, qui a commencé comme son fork en 2010.

Cependant, OpenOffice bénéficie toujours d'un nombre respectable de téléchargements quotidiens de personnes à la recherche d'un éditeur de documents et de feuilles de calcul gratuit. Il est possible que le LibreOffice, beaucoup plus populaire, n'ait pas été cloné par les acteurs de la menace, car cela conduirait à une suppression rapide en raison de nombreux rapports.

Site malveillant par rapport au vrai (Morphisec)

Le programme d'installation d'OpenOffice sur le faux site est en fait un exécutable Mars Stealer fourni avec le crypteur Babadeda ou le chargeur Autoit, de sorte que les victimes sont infectées sans le savoir.

En raison d'une erreur dans les instructions d'installation de la version fissurée, l'opérateur a exposé le répertoire 'logs' des victimes, donnant un accès complet à tout visiteur.

Un registre est un fichier compressé contenant des données volées par un cheval de Troie voleur d'informations et téléchargées sur les serveurs de commande et de contrôle des pirates.

Répertoire qui stocke les données volées (logs) - Morfisecco

Dans cette campagne, les informations volées produites par Mars Stealer semblent contenir des données de remplissage automatique du navigateur, des données d'extension de navigateur, des cartes de crédit, une adresse IP, un code de pays et un fuseau horaire.

Parce que l'acteur de la menace a été infecté par sa copie de Mars Stealer lors du nettoyage, ses informations sensibles ont également été exposées.

Ce bogue a permis aux chercheurs d'attribuer les attaques à un locuteur russe et de découvrir les comptes GitLab de l'acteur menaçant, les informations d'identification volées utilisées pour payer les publicités Google, etc.

Une menace pour les actifs cryptographiques

Mars Stealer est une menace croissante, promue sur plus de 47 sites darknet et forums de piratage, chaînes Telegram et canaux de distribution 'non officiels' comme le package piraté.

Morphisec dit que les opérateurs de ces voleurs d'informations sont très concentrés sur les actifs de crypto-monnaie.

Résumé des enregistrements volés à un seul opérateur de campagne (Morphisec)

Le plugin de navigateur le plus volé de la campagne analysée est MetaMask, suivi de Coinbase Wallet, Binance Wallet et Math wallet, tous des portefeuilles 'chauds' pour la gestion des actifs de crypto-monnaie.

Morphisec a également identifié des références appartenant à un fournisseur d'infrastructures de soins de santé au Canada et a vu des signes de compromission dans plusieurs entreprises de services canadiennes de premier plan.

Pour vous protéger contre les voleurs d'informations, assurez-vous de cliquer sur les sites officiels et non sur les résultats des annonces Google et analysez toujours les exécutables téléchargés sur votre AV avant de les lancer.

Pour ceux qui recherchent une plongée technique approfondie dans le nouveau malware Mars Stealer, vous pouvez lire l'examen de 3xp0rt de la nouvelle variante de malware.

Qu'est-ce que tu penses?