Los investigadores exponen la campaña de malware Mars Stealer que utiliza anuncios de Google para propagarse


Se ha observado a un incipiente ladrón de información llamado Mars en campañas que aprovechan versiones descifradas del malware para robar información almacenada en navegadores web y billeteras de criptomonedas.

“Mars Stealer se distribuye a través de técnicas de ingeniería social, campañas de malspam, cracks de software malicioso y keygen”, dijo el investigador de malware de Morphisec, Arnold Osipov. dijo en un informe publicado el martes.

Basado en el Ladrón de Oski y descubierto por primera vez en junio de 2021, Ladrón de Marte se dice que está constantemente en desarrollo y disponible para la venta en más de 47 foros clandestinos, sitios de darknet y canales de Telegram, con un costo de solo $ 160 por una suscripción de por vida.

La seguridad cibernética

Los ladrones de información permiten a los adversarios extraer información personal de los sistemas comprometidos, incluidas las credenciales almacenadas y las cookies del navegador, que luego se venden en mercados delictivos o se utilizan como trampolín para lanzar más ataques.

El lanzamiento de Mars Stealer el año pasado también estuvo acompañado por un aumento constante en las campañas de ataque, algunas de las cuales involucraron el uso de una versión descifrada del malware que se configuró de tal manera que expuso activos críticos en Internet. , filtrando inadvertidamente detalles sobre la infraestructura del actor de amenazas.

Malware ladrón de Marte

También es notable una campaña observada el mes pasado que extrajo las contraseñas de estudiantes, miembros de la facultad y creadores de contenido que descargaron versiones troyanizadas de aplicaciones legítimas.

Además de eso, la compañía de seguridad cibernética señaló que “identificó credenciales que llevaron al compromiso total de un proveedor líder de infraestructura de atención médica en Canadá y varias compañías de servicios canadienses de alto perfil”.

Si bien Mars Stealer se distribuye más comúnmente a través de mensajes de correo electrónico no deseado que contienen un ejecutable comprimido, un enlace de descarga o una carga de documentos, también se propaga a través de sitios web fraudulentos clonados que anuncian software conocido como OpenOffice que luego se enviaron a través de Google Ads.

La seguridad cibernética

El objetivo es aprovechar los anuncios orientados geográficamente para engañar a las víctimas potenciales que buscan el software original para que visiten un sitio malicioso, lo que en última instancia conduce a la implementación del malware.

Mars Stealer, por su parte, está diseñado para recopilar y extraer datos de autocompletado del navegador, información de tarjetas de crédito, detalles de la extensión del navegador, incluido el de las billeteras de criptomonedas como Metamask, Coinbase Wallet y Binance Wallet, y metadatos del sistema.

Pero debido a que el actor de amenazas comprometió su propia máquina con Mars Stealer durante la depuración, el error de OPSEC permitió a los investigadores atribuir la campaña a un hablante de ruso y descubrir detalles sobre el uso de GitLab por parte del adversario y las credenciales robadas para colocar anuncios de Google.

“Los ladrones de información ofrecen un punto de entrada accesible a la actividad delictiva”, dijo Osipov, y agregó que tales herramientas “empoderan a los ciberdelincuentes novatos para construir una reputación que pueden aprovechar para adquirir malware más poderoso de actores más sofisticados”.



ttn-es-57