Ein neu aufkommender Informationsdieb namens Mars wurde in Kampagnen beobachtet, die geknackte Versionen der Malware ausnutzen, um in Webbrowsern und Kryptowährungs-Wallets gespeicherte Informationen zu stehlen.
„Mars Stealer wird über Social-Engineering-Techniken, Malspam-Kampagnen, geknackte Schadsoftware und Keygens verbreitet“, so Morphisec-Malware-Forscher Arnold Osipov in einem am Dienstag veröffentlichten Bericht.
Der Mars Stealer, der auf dem Oski Stealer basiert und erstmals im Juni 2021 entdeckt wurde, wird angeblich ständig weiterentwickelt und steht in über 47 Untergrundforen, Darknet-Seiten und Telegram-Kanälen zum Verkauf. Er kostet nur $160 für ein lebenslanges Abonnement.
Information Stealer ermöglichen es Angreifern, persönliche Informationen von kompromittierten Systemen abzusaugen, einschließlich gespeicherter Anmeldedaten und Browser-Cookies, die dann auf kriminellen Marktplätzen verkauft oder als Sprungbrett für weitere Angriffe genutzt werden können.
Seit der Veröffentlichung von Mars Stealer im letzten Jahr haben auch die Angriffskampagnen stetig zugenommen. In einigen Fällen wurde eine geknackte Version der Malware verwendet, die so konfiguriert war, dass sie kritische Anlagen im Internet offenlegte und so unbeabsichtigt Details über die Infrastruktur des Bedrohers preisgab.
Bemerkenswert ist auch eine im letzten Monat beobachtete Kampagne, bei der die Passwörter von Studierenden, Lehrkräften und Inhaltserstellern abgegriffen wurden, die trojanisierte Versionen legitimer Anwendungen heruntergeladen hatten.
Darüber hinaus stellte das Cybersecurity-Unternehmen fest, dass es „Zugangsdaten identifiziert hat, die zur vollständigen Kompromittierung eines führenden Anbieters von Gesundheitsinfrastruktur in Kanada und einer Reihe von hochrangigen kanadischen Dienstleistungsunternehmen geführt haben“.
Mars Stealer wird am häufigsten über Spam-E-Mails verbreitet, die eine komprimierte ausführbare Datei, einen Download-Link oder ein Dokument enthalten, aber auch über gefälschte, geklonte Websites, die für bekannte Software wie OpenOffice werben und über Google Ads verbreitet werden.
Ziel ist es, potenzielle Opfer, die nach der Originalsoftware suchen, mit Hilfe von geografisch ausgerichteten Anzeigen dazu zu bringen, stattdessen eine bösartige Website zu besuchen, was letztendlich zur Verbreitung der Malware führt.
Mars Stealer ist seinerseits so konzipiert, dass er Daten zum automatischen Ausfüllen des Browsers, Kreditkarteninformationen, Details zu Browsererweiterungen, einschließlich der Daten von Kryptowährungs-Wallets wie Metamask, Coinbase Wallet und Binance Wallet, sowie System-Metadaten abfängt und ausschleust.
Da der Bedrohungsakteur während der Fehlersuche seinen eigenen Rechner mit dem Mars Stealer kompromittierte, konnten die Forscher die Kampagne einem russischen Sprecher zuordnen und Details über die Nutzung von GitLab und gestohlenen Anmeldedaten zum Schalten von Google-Anzeigen aufdecken.
„Infostealer bieten einen leicht zugänglichen Einstieg in kriminelle Aktivitäten“, sagte Osipov und fügte hinzu, dass solche Tools „unerfahrene Cyberkriminelle in die Lage versetzen, sich einen Ruf aufzubauen, den sie nutzen können, um mächtigere Malware von raffinierteren Akteuren zu erwerben“.