Análisis de malware

Análisis de malware Mars Stealer

e abril de por Pedro Tavares

Mars Stealer es la última variante de Oski Stealer . Este ladrón de información puede recopilar datos de los navegadores web más populares, incluidos complementos 2FA y múltiples extensiones y billeteras de criptomonedas.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Mars Stealer es un malware sigiloso y potente de tan solo 95 KB pero capaz de robar un gran volumen de datos. Según el análisis de 3xp0rt , se trata de una variante rediseñada del troyano Oski que detuvo su funcionamiento en julio de. Sus autores cerraron el canal Telegram y detuvieron toda actividad, incluida la comunicación con sus clientes. Posteriormente, en julio de, Mars Stealer comenzó a promocionarse en un foro clandestino de habla rusa. [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]

1: Mars Sstealer anunciado en un foro clandestino en ( fuente ).

Cómo funciona el malware Mars Stealer

Mars Stealer aprovecha varias técnicas para ser sigiloso. Las cadenas de malware se ofuscan y descifran en tiempo de ejecución utilizando el algoritmo RC4 y combinaciones de Base64.

2: Cuerdas ofuscadas por Mars Stealer.

Al implementar un descifrador de cadenas simple, es posible obtener todas las cadenas de texto plano, como se observa en la 3. En detalle, la clave RC4 » 8622394583053453 » se extrae de una función de inicialización responsable de iniciar el proceso de descifrado. La «clave» también se resalta a continuación.

3: Descifrador de String del malware Mars Stealer ( fuente ).

Después de descifrar las cadenas de malware, algunos procedimientos internos se hicieron más evidentes. Esta nueva variante utiliza técnicas antianálisis, concretamente procedimientos antidepuración y emulación.

4: Técnicas antianálisis encontradas durante el análisis de malware.

En detalle, el malware obtiene el nombre de la computadora y lo compara con una cadena codificada, probablemente el nombre del host de desarrollo. Si coincide, el malware detiene su actividad.

Además, se realizan consultas a GetUserDefaultLangID() WinCall para evitar infecciones de máquinas de la Comunidad de Estados Independientes (CEI). Esta función se puede desactivar cuando se generan nuevas muestras, como se observará más adelante.

El malware descarga algunas DLL de destino desde su servidor C2 durante su ejecución. Estas DLL son las dependencias de malware que se utilizan para respaldar todas las operaciones maliciosas cuando se extraen datos de los navegadores web populares. Después de descifrar las cadenas, es posible ver el flujo responsable de descargar los archivos DLL en la carpeta » C:ProgramData «.

5: Descarga de archivos DLL de destino desde el servidor Mars Stealer C2 durante la ejecución del malware.

Como se observa, todas las DLL direccionadas están disponibles para descargar en el servidor Mars Stealer C2 junto con su panel web, que también se detalla al final de este artículo.

6: DLL de destino (dependencias) disponibles en el servidor C2.

Objetivos del ladrón de Marte

Mars Stealer utiliza un capturador personalizado capaz de recuperar su configuración en C2 para luego atacar las siguientes aplicaciones:

Aplicaciones de Internet

Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon and Thunderbird.

7: Aplicaciones de Internet objetivo de Mars Stealer ( fuente ).

Aplicaciones 2FA

Authenticator, Authy, EOS Authenticator, GAuth Authenticator, and Trezor Password Manager.

Extensiones criptográficas

TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, Neoline, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, and Coin98 Wallet.

8: Extensiones del navegador encontradas dentro de la muestra de malware ( fuente ).

Carteras criptográficas

Bitcoin Core and all derivatives (Dogecoin, Zcash, DashCore, LiteCoin, etc), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, and Coinomi.

9: Carteras criptográficas objetivo de Mars Stealer ( fuente ).

Panel web Mars Stealer

Mars Stealer se vende por aproximadamente 160 dólares. Los archivos incluyen el panel web con todos los datos necesarios para propagar nuevas campañas y el generador de malware para generar nuevas muestras.

En cuanto al panel web, los delincuentes utilizan un panel PHP con un motor de base de datos MySQL para tomar el control de toda la información exfiltrada y de las máquinas de las víctimas. La 10 muestra la estructura del panel web y el archivo db.php con la configuración de la base de datos.

10: Estructura interna del panel web Mars Stealer (servidor C2).

El panel principal proporciona información sobre la información recopilada, como se observa a continuación.

11: Capturas de pantalla del panel web del ladrón de Marte ( fuente ).

Por otro lado, también se proporciona un constructor en el mismo paquete. Esta aplicación es capaz de generar nuevas muestras de esta versión específica de Mars Stealer (6.1), y se pueden introducir algunos campos, a saber:

12: Constructor del Mars Stealer.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

La amenaza del ladrón de Marte

Mars Stealer es un malware nuevo y diferente en contraste con otras amenazas populares y emergentes. Este software fue diseñado con un enfoque sigiloso para mantener la amenaza activa durante mucho tiempo. Los verdaderos objetivos de este malware son las carteras criptográficas y, por ello, es necesario tomar algunas medidas para prevenir posibles infecciones.

En primer lugar, las copias de seguridad son una regla general para luchar contra cualquier ciberataque. Es obligatorio mantener copias de seguridad de los archivos de su billetera y sus claves privadas seguras y protegidas.

Para eludir la intención de Mars Stealer, el uso de billeteras que ofrecen almacenamiento fuera de línea es la solución más adecuada. Por ejemplo, utilizar una simple cartera de papel para llaves individuales puede resultar muy eficaz. Sin embargo, si necesita almacenar un volumen mayor de criptoactivos, considere usar una billetera de hardware. Estos dispositivos físicos pueden almacenar claves privadas fuera de línea de su computadora y proporcionar una capa adicional de seguridad.

Sus activos estarán a salvo de posibles ataques con este enfoque.

Fuentes: