Bir güvenlik araştırması ve bilgisayar korsanlığı girişimi, Mars Stealer kötü amaçlı yazılımının operatörlerini kendi sunucularından kilitlemesine ve kurbanlarını serbest bırakmasına olanak tanıyan bir kodlama hatası bulduğunu söylüyor.
Mars Stealer, bir hizmet olarak veri çalan kötü amaçlı yazılımdır ve siber suçluların kendi saldırılarını başlatmak için altyapıya erişim kiralamasına olanak tanır. Kötü amaçlı yazılımın kendisi genellikle e-posta ekleri, kötü amaçlı reklamlar olarak dağıtılır ve dosya paylaşım sitelerinde torrent dosyalarıyla birlikte paketlenir. Kötü amaçlı yazılım bir kez bulaştıktan sonra, kurbanın parolalarını ve tarayıcı uzantılarından iki faktörlü kodları ve ayrıca içeriklerini çalar. kripto para cüzdanları. Kötü amaçlı yazılım, fidye yazılımı gibi diğer kötü amaçlı yükleri teslim etmek için de kullanılabilir.
Bu yılın başlarında, Mars Stealer kötü amaçlı yazılımının kırık bir kopyası çevrimiçi olarak sızdırıldı ve herkesin kendi Mars Stealer komut ve kontrol sunucusunu oluşturmasına izin verdi, ancak belgeleri kusurluyduve olası kötü aktörlere sunucularını kurbanların bilgisayarlarından çalınan kullanıcı verileriyle dolu günlük dosyalarını istemeden açığa çıkaracak şekilde yapılandırmaları için rehberlik etti. Bazı durumlarda, operatör yanlışlıkla kendilerine kötü amaçlı yazılım bulaştırabilir ve kendi özel verilerini açığa çıkarabilir.
Mars Stealer, bir başka popüler veri çalan kötü amaçlı yazılım olan Raccoon Stealer’ın kaldırılmasının ardından Mart ayında ilgi topladı. Bu, aşağıdakiler de dahil olmak üzere yeni Mars Stealer kampanyalarında bir artışa yol açtı: Ukrayna’nın toplu hedeflemesi Rusya’nın işgalini takip eden haftalarda ve kurbanlara virüs bulaştırmaya yönelik geniş çaplı bir çaba kötü amaçlı reklamlar. Nisan ayına kadar, güvenlik araştırmacıları bulduklarını söylediler 40’tan fazla sunucu Mars Stealer’ı barındırma.
Şimdi, bir penetrasyon testi girişimi olan Buguard, sızan kötü amaçlı yazılımda keşfettiği güvenlik açığının, kurbanın virüs bulaşmış bilgisayarlarından veri çalmak için kullanılan Mars Stealer komut ve kontrol sunucularına uzaktan girip “yenmesine” izin verdiğini söyledi.
Şirketin baş teknoloji sorumlusu Youssef Mohamed, TechCrunch’a güvenlik açığından yararlanıldığında, hedeflenen Mars Stealer sunucusundaki günlükleri sildiğini, kurbanların bilgisayarlarıyla bağları kesen tüm aktif oturumları sonlandırdığını ve ardından kontrol panelinin şifresini karıştırdığını söyledi. operatörler tekrar giriş yapamaz.
Mohamed bunun, operatörün çalınan tüm verilerine erişimini kaybedeceği ve kurbanlarını yeniden hedef alıp yeniden bulaştırmak zorunda kalacağı anlamına geldiğini söyledi.
“Geri hackleme” olarak bilinen, kötü aktörlerin ve siber suçluların sunucularını aktif olarak hedeflemek, alışılmışın dışında bir şeydir ve hem avantajları hem de dezavantajları ve ABD’deki uygulamanın neden yalnızca devlet kurumlarına mahsustur olması nedeniyle hararetle tartışılır. İyi niyetli güvenlik araştırmalarında genel olarak kabul edilen bir ilke, çevrimiçi olarak bulunan bir şeye, size ait değilse bakmak ama dokunmamaktır; sadece belgeleyin ve rapor edin. Ancak yaygın bir taktik, web barındırıcılarından ve etki alanı kayıt şirketlerinden kötü amaçlı etki alanlarını kapatmalarını istemek olsa da, bazı kötü aktörler, kötü amaçlı yazılım operasyonlarını büyük ölçüde yasal cezasızlıkla ve kovuşturma korkusu olmadan yürütebilecekleri ülkelerde ve ağlarda alışveriş yapıyor.
Mohamed, şirketinin şimdiye kadar beş Mars Stealer sunucusunu keşfettiğini ve etkisiz hale getirdiğini ve bunların dördünün daha sonra çevrimdışı olduğunu söyledi. Şirket, güvenlik açığını operatörlere tüyo vermemek için yayınlamıyor, ancak daha fazla Mars Stealer operatörünün devrilmesine yardımcı olmak amacıyla güvenlik açığının ayrıntılarını yetkililerle paylaşacağını söyledi. Mohamed, güvenlik açığının, Mars Stealer’a benzer bir hizmet olarak kötü amaçlı yazılım modeline sahip başka bir veri çalan kötü amaçlı yazılım olan Erbium’da da bulunduğunu söyledi.
