Une nouvelle variante de logiciel malveillant de vol d’informations appelée Mars Stealer gagne en popularité, et les analystes des menaces repèrent maintenant les premières campagnes notables à grande échelle qui l’utilisent.
Mars Stealer est apparu comme une refonte du malware Oski qui a arrêté le développement en 2020, avec des capacités étendues de vol d’informations ciblant un large éventail d’applications.
Promue sur les forums de piratage à des prix abordables de l’ordre de 140 $ à 160 $, Mars Stealer a connu une croissance lente jusqu’à récemment, lorsque la fermeture brutale de Raccoon Stealer a forcé les cybercriminels à chercher des alternatives.
Mars Stealer a été submergé par un afflux de nouveaux utilisateurs, car le service fonctionne de la même manière que Raccoon fonctionnait auparavant, il est donc sur le point de devenir le tremplin de nombreuses nouvelles campagnes.
Les analystes des menaces de Morphisec rapportent avoir repéré plusieurs de ces nouvelles campagnes, dont une utilisant une version craquée du malware qui circule avec des instructions sur la façon de l’utiliser.
Campagne OpenOffice
Une nouvelle campagne Mars Stealer découvert par Morphisec utilise la publicité Google Ads pour classer les sites OpenOffice clonés en tête des résultats de recherche canadiens.
OpenOffice est une suite bureautique open source autrefois populaire appartenant maintenant à la fondation Apache et a été dépassée par LibreOffice, qui a commencé comme son fork en 2010.
Cependant, OpenOffice bénéficie toujours d’un nombre respectable de téléchargements quotidiens de la part de personnes à la recherche d’un éditeur de documents et de feuilles de calcul gratuit. Il est possible que les acteurs de la menace n’aient pas cloné le LibreOffice, beaucoup plus populaire, car cela entraînerait un retrait rapide en raison de nombreux rapports.
Le programme d’installation d’OpenOffice sur le site bidon est, en réalité, un exécutable Mars Stealer contenant le crypteur Babadeda ou le chargeur Autoit, de sorte que les victimes s’infectent sans le savoir.
En raison d’une erreur dans les instructions de configuration de la version crackée, l’opérateur a exposé le répertoire ‘logs’ des victimes, donnant un accès complet à tout visiteur.
Un journal est un fichier zip contenant des données volées par un cheval de Troie voleur d’informations et téléchargées sur les serveurs de commande et de contrôle des pirates.
Dans cette campagne, les informations volées produites par Mars Stealer semblent contenir des données de remplissage automatique du navigateur, des données d’extension de navigateur, des cartes de crédit, une adresse IP, un code de pays et un fuseau horaire.
Étant donné que l’acteur de la menace s’est infecté avec sa copie de Mars Stealer lors du débogage, ses informations sensibles ont également été exposées.
Cette erreur a permis aux chercheurs d’attribuer les attaques à un russophone et de découvrir l’identité de l’auteur de la menace. Comptes GitLabdes informations d’identification volées utilisées pour payer les annonces Google, et plus encore.
Une menace pour les actifs cryptographiques
Mars Stealer est une menace croissante, promue dans plus de 47 sites darknet et forums de piratage, chaînes Telegram et voies de distribution « non officielles » comme le pack fissuré.
Morphisec dit que les opérateurs de ces voleurs d’informations se concentrent fortement sur les actifs de crypto-monnaie.
Le plugin de navigateur le plus volé de la campagne analysée est MetaMask, suivi de Coinbase Wallet, Binance Wallet et Math wallet, tous des portefeuilles « chauds » pour la gestion des actifs de crypto-monnaie.
Morphisec a également identifié des références appartenant à un fournisseur d’infrastructures de soins de santé au Canada et a vu des signes de compromis sur plusieurs entreprises de services canadiennes de premier plan.
Pour vous protéger contre les voleurs d’informations, assurez-vous de cliquer sur des sites officiels et non sur les résultats de Google Ads et analysez toujours les exécutables téléchargés sur votre AV avant de les lancer.
Pour ceux qui recherchent une plongée technique approfondie dans le nouveau malware Mars Stealer, vous pouvez lire L’analyse de 3xp0rt de la nouvelle variante de malware.