Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Serangan Malware ShadowPad Menunjukkan Tautan dengan Kementerian China dan PLA

by

ShadowPad Malware Attacks, menurut peneliti keamanan siber, memiliki hubungan dengan kementerian China dan PLA. Pintu belakang yang canggih dan modular ini telah diadopsi oleh banyak kelompok ancaman China baru-baru ini dan memiliki hubungan dengan badan intelijen sipil dan militer negara itu.

Peneliti Secureworks mengatakan, “ShadowPad didekripsi dalam memori menggunakan algoritma dekripsi khusus. ShadowPad mengekstrak informasi tentang host, menjalankan perintah, berinteraksi dengan sistem file dan registri, dan menyebarkan modul baru untuk memperluas fungsionalitas.”

Platform malware modular ini memiliki kesamaan yang mencolok dengan malware PlugX. Plugx digunakan dalam serangan profil tinggi terhadap NetSarang, CCleaner, dan ASUS. Pelaku ancaman tidak mengubah taktik dan memperbarui tindakan defensif mereka.

Kampanye ShadowPad sebelumnya dikaitkan dengan kluster ancaman yang dilacak sebagai Atlas Perunggu alias Barium. Mereka adalah warga negara Tiongkok yang bekerja untuk perusahaan keamanan jaringan bernama Chengdu 404.

SentinelOne mengatakan ShadowPad adalah “karya malware yang dijual secara pribadi dalam spionase China.” Seperti PwC dalam analisis Desember 2021 mengungkapkan mekanisme pengemasan yang dipesan lebih dahulu bernama ScatterBee yang digunakan untuk mengaburkan muatan 32-bit dan 64-bit berbahaya untuk binari ShadowPad.

Muatan malware disebarkan ke host baik dengan mengenkripsinya dengan pemuat DLL atau menyematkannya di dalam file terpisah bersama dengan pemuat DLL. Kemudian ia mendekripsi dan mengeksekusi muatan ShadowPad yang tertanam di memori menggunakan algoritme dekripsi khusus yang disesuaikan dengan versi malware.

Malware dijalankan oleh pemuat DLL ini setelah mereka dipindahkan oleh executable sah yang rentan terhadap pembajakan perintah pencarian DLL. Ini adalah teknik yang digunakan untuk mengeksekusi malware dengan membajak metode yang digunakan untuk mencari DLL yang diperlukan untuk dimuat ke dalam program.

Secureworks juga mengamati rantai infeksi tertentu yang menyertakan file ketiga, yang berisi payload ShadowPad terenkripsi. Ini membantu untuk mengeksekusi biner yang sah (misalnya, BDReinit.exe atau Oleview.exe) untuk melakukan sideload DLL yang, pada gilirannya, memuat dan mendekripsi file ketiga.

Pelaku ancaman juga menempatkan file DLL di direktori Windows System32. Ini memungkinkannya untuk dimuat oleh Layanan Konfigurasi Desktop Jarak Jauh (SessionEnv), yang mengarah ke penyebaran Cobalt Strike pada sistem yang disusupi.

ShadowPad dalam insiden tertentu membuka jalan untuk meluncurkan serangan hands-on-keyboard. Dalam jenis serangan seperti itu, peretas secara manual masuk ke sistem yang terinfeksi untuk menjalankan perintah sendiri daripada menggunakan skrip otomatis.

Sumber: TechnoidHost

Pemasang Windows 11 palsu datang setelah kata sandi, kartu kredit, dan dompet kripto

by

Lebih dari satu miliar mesin menjalankan beberapa versi Microsoft Windows. Jangkauan sistem operasi diperluas lebih jauh ketika Windows 11 memasuki pasar.

Tetapi tidak semua orang mampu meningkatkan ke versi baru. Itu karena beberapa komputer lama tidak memiliki persyaratan sistem minimum untuk menangani Windows 11. Hal tersebut menyebabkan beberapa orang mencari salinan OS yang tidak resmi.

Jika sistem Anda terlalu tua untuk menjalankan Windows 11, yang terbaik adalah mendapatkan PC baru. Mencoba menghindari proses penginstalan dan mencari penginstal tidak resmi dapat mengarahkan Anda ke situs web palsu.

Tim Riset Ancaman HP menemukan domain yang menyerupai situs web Microsoft yang sah, situs tersebut berdomain windows-upgraded.com dan file tersebut mengandung malware berbahaya yang disebut RedLine yang biasa digunakan oleh penjahat dunia maya untuk mencuri kredensial, cookie browser, informasi perbankan, dan data dompet cryptocurrency.

“Ini mengumpulkan berbagai informasi tentang lingkungan saat ini, seperti nama pengguna, nama komputer, perangkat lunak yang diinstal, dan informasi perangkat keras. Malware ini juga mencuri kata sandi yang tersimpan dari browser web, melengkapi data secara otomatis seperti informasi kartu kredit, serta file dan dompet cryptocurrency,” jelas HP’s Threat Research dalam sebuah posting blog.

Penjahat dunia maya sangat pandai memalsukan situs web dan komunikasi resmi. Itu sebabnya Anda harus berhati-hati dan menghindari situs atau toko aplikasi pihak ketiga. Dan selalu waspada terhadap email dan teks phishing dan hindari mengklik tautan dalam pesan yang tidak diminta.

Salah satu cara korban menemukan situs web palsu yang mengklaim menawarkan salinan Windows 11 adalah melalui iklan yang ditemukan di media sosial. Jangan pernah percaya iklan media sosial! Sebagian besar waktu, Anda akan berakhir dengan perangkat yang terinfeksi malware, atau Anda akan membeli item dan menerima produk palsu jika Anda menerima apa pun.

Jika Anda ingin memutakhirkan ke Windows 11, lakukan hanya melalui pembaru di PC Anda atau dari situs resmi Microsoft.

Sumber : KOMANDO

Pemasang pemutakhiran Windows 11 palsu menginfeksi Anda dengan malware RedLine

by

Pelaku ancaman telah mulai mendistribusikan penginstal pemutakhiran Windows 11 palsu kepada pengguna Windows 10, menipu mereka agar mengunduh dan menjalankan malware pencuri RedLine.

Waktu serangan bertepatan dengan saat Microsoft mengumumkan fase penyebaran luas Windows 11, sehingga penyerang sangat siap untuk langkah ini dan menunggu saat yang tepat untuk memaksimalkan keberhasilan operasi mereka.

Pelaku mencuri kata sandi, cookie browser, kartu kredit, dan pengambil info dompet cryptocurrency yang paling banyak digunakan, sehingga infeksinya dapat memiliki konsekuensi yang mengerikan bagi para korban.

Menurut peneliti di HP, para pelaku menggunakan domain “windows-upgraded.com” yang tampaknya sah untuk bagian distribusi malware dari kampanye mereka.

Situs tersebut tampak seperti situs Microsoft asli dan, jika pengunjung mengeklik tombol ‘Unduh Sekarang’, mereka menerima arsip ZIP 1,5 MB bernama “Windows11InstallationAssistant.zip,” diambil langsung dari CDN Discord.

Situs web palsu yang digunakan untuk penyebaran malware (HP)

Dekompresi file menghasilkan folder berukuran 753MB, menampilkan rasio kompresi 99,8% yang mengesankan, dicapai berkat adanya padding dalam file yang dapat dieksekusi.

Ketika korban meluncurkan executable di folder, proses PowerShell dengan argumen yang disandikan dimulai.

Selanjutnya, proses cmd.exe diluncurkan dengan batas waktu 21 detik, dan setelah itu berakhir, file .jpg diambil dari server web jarak jauh.

Akhirnya, proses awal memuat DLL dan mengganti konteks utas saat ini dengannya. DLL itu adalah payload pencuri RedLine yang terhubung ke server perintah-dan-kontrol melalui TCP untuk mendapatkan instruksi tentang tugas jahat apa yang harus dijalankan selanjutnya pada sistem yang baru dikompromikan.

Eksekusi RedLine dan rantai pemuatan (HP)

Windows 11 adalah peningkatan besar yang tidak dapat diperoleh banyak pengguna Windows 10 dari saluran distribusi resmi karena ketidakcocokan perangkat keras, sesuatu yang dilihat oleh operator malware sebagai peluang bagus untuk menemukan korban baru.

Pelaku ancaman juga memanfaatkan klien pembaruan Windows yang sah untuk mengeksekusi kode berbahaya pada sistem Windows yang disusupi, sehingga taktik yang dilaporkan oleh HP hampir tidak mengejutkan saat ini.

Sumber : Bleeping Computer

Qbot hanya membutuhkan 30 menit untuk mencuri kredensial Anda

by

Malware yang tersebar luas yang dikenal sebagai Qbot (alias Qakbot atau QuakBot) baru-baru ini kembali ke serangan kecepatan ringan, dan menurut analis, hanya perlu sekitar 30 menit untuk mencuri data sensitif setelah infeksi awal.

Para analis melaporkan bahwa dibutuhkan setengah jam bagi musuh untuk mencuri data browser dan email dari Outlook dan 50 menit sebelum mereka melompat ke workstation yang berdekatan.

Seperti yang ditunjukkan pada diagram berikut, Qbot bergerak cepat untuk melakukan eskalasi hak istimewa segera setelah infeksi, sementara pemindaian pengintaian penuh berlangsung dalam sepuluh menit.

Akses awal biasanya dicapai melalui dokumen Excel (XLS) yang menggunakan makro untuk menjatuhkan loader DLL pada mesin target.

Payload ini kemudian dijalankan untuk membuat tugas terjadwal melalui proses msra.exe dan meningkatkan dirinya ke hak istimewa sistem.

Selain itu, malware menambahkan Qbot DLL ke daftar pengecualian Microsoft Defender, sehingga tidak akan terdeteksi saat injeksi ke msra.exe terjadi.

Perintah penemuan disuntikkan ke msra.exe
Sumber: DFIR

Malware mencuri email dalam waktu setengah jam setelah eksekusi awal, yang kemudian digunakan untuk serangan phishing berantai ulang dan untuk dijual ke pelaku ancaman lainnya.

Qbot mencuri kredensial Windows dari memori menggunakan injeksi LSASS (Local Security Authority Server Service) dan dari browser web. Ini dimanfaatkan untuk pergerakan lateral ke perangkat lain di jaringan, dimulai pada rata-rata lima puluh menit setelah eksekusi pertama.

Gerakan lateral Qbot
Sumber: DFIR

Qbot bergerak secara lateral ke semua workstation di lingkungan yang dipindai dengan menyalin DLL ke target berikutnya dan membuat layanan dari jarak jauh untuk menjalankannya.

Pada saat yang sama, infeksi sebelumnya dihapus, sehingga mesin yang baru saja dieksfiltrasi kredensialnya didesinfeksi dan tampak normal.

Selain itu, layanan yang dibuat pada workstation baru memiliki parameter ‘DeleteFlag’, yang menyebabkannya dihapus saat sistem di-boot ulang.

Layanan yang dibuat di stasiun kerja target
Sumber: DFIR

Pergerakan lateral berlangsung dengan cepat, jadi jika tidak ada segmentasi jaringan untuk melindungi stasiun kerja, situasinya menjadi sangat menantang bagi tim pertahanan.

Selain itu, pelaku ancaman Qbot sering kali suka menggunakan beberapa sistem yang disusupi sebagai titik proxy tingkat pertama untuk penyembunyian dan rotasi alamat yang mudah, dan menggunakan beberapa port untuk komunikasi SSL dengan server C2.

Dampak dari serangan cepat ini tidak terbatas pada kehilangan data, karena Qbot juga telah diamati menjatuhkan muatan ransomware ke jaringan perusahaan yang disusupi.

Laporan Microsoft dari Desember 2021 menangkap keserbagunaan serangan Qbot, membuatnya lebih sulit untuk mengevaluasi cakupan infeksinya secara akurat.

Sumber : Bleeping Computer

Microsoft memblokir makro Office VBA secara default

by

Microsoft akhirnya berencana untuk memblokir makro Visual Basic for Applications (VBA) secara default di berbagai aplikasi Office. Perubahan akan berlaku untuk file Office yang diunduh dari internet dan menyertakan makro, sehingga pengguna Office tidak lagi dapat mengaktifkan konten tertentu hanya dengan mengklik tombol.

Peretas telah menargetkan dokumen Office dengan makro berbahaya selama bertahun-tahun, dan meskipun Office telah lama meminta pengguna untuk mengklik untuk mengaktifkan makro berjalan, tombol sederhana ini dapat menyebabkan “termasuk malware yang parah, identitas yang disusupi, kehilangan data, dan akses jarak jauh.” Alih-alih tombol, spanduk risiko keamanan akan muncul dengan tautan ke artikel dukungan Microsoft, tetapi tidak ada cara mudah untuk mengaktifkan makro.

Microsoft berencana untuk melihat pratinjau perubahan dengan pengguna Saluran Saat Ini (Pratinjau) pada awal April, sebelum diluncurkan ke pelanggan reguler Microsoft 365. Perubahan untuk memblokir makro VBA dari web akan memengaruhi Access, Excel, PowerPoint, Visio, dan Word di Windows. Microsoft juga berencana untuk memperbarui Office LTSC, Office 2021, Office 2019, Office 2016, dan bahkan Office 2013 untuk memblokir makro VBA internet.

Ini adalah perubahan besar yang dapat memengaruhi banyak kasus penggunaan asli untuk makro VBA, dan itu berarti bahwa pengguna Office hanya akan dapat mengaktifkan makro dengan secara khusus mencentang opsi buka blokir pada properti file. Itu lebih banyak langkah dari biasanya, dan yang diharapkan Microsoft akan membantu mencegah masalah keamanan di masa mendatang.

“Makro menyumbang sekitar 25 persen dari semua entri ransomware,” jelas peneliti keamanan dan mantan karyawan Microsoft Kevin Beaumont. “Terus mengabaikan fungsi makro dan makro. Ini sangat penting. Terima kasih semua orang di belakang layar yang melakukan ini.” Marcus Hutchins, seorang peneliti keamanan yang terkenal karena menghentikan serangan malware WannaCry global, juga merayakan perubahan Microsoft tetapi mencatat bahwa perusahaan telah “memutuskan untuk melakukan yang minimal” setelah bertahun-tahun terinfeksi malware.

Sumber : The Verge

Malware Mac menyebar selama 14 bulan menginstal pintu belakang pada sistem yang terinfeksi

by

Malware Mac yang dikenal sebagai UpdateAgent telah menyebar selama lebih dari satu tahun, pengembangnya menambahkan lonceng dan peluit baru termasuk mendorong payload adware tahap kedua agresif yang menginstal backdoor persisten pada Mac yang terinfeksi.

Keluarga malware UpdateAgent mulai beredar paling lambat November atau Desember 2020 sebagai pencuri informasi yang relatif mendasar. Itu mengumpulkan nama produk, nomor versi, dan informasi sistem dasar lainnya. Metodenya yaitu, kemampuan untuk menjalankan setiap kali Mac melakukan booting—juga cukup sederhana.

Serangan Person-in-The-Middle
UpdateAgent telah berkembang semakin maju. Selain data yang dikirim ke server penyerang, aplikasi juga mengirimkan “detak jantung” yang memberi tahu penyerang jika malware masih berjalan. Itu juga menginstal adware yang dikenal sebagai Adload.

Peneliti Microsoft menulis:

Setelah adware diinstal, ia menggunakan perangkat lunak dan teknik injeksi iklan untuk mencegat komunikasi online perangkat dan mengarahkan lalu lintas pengguna melalui server operator adware, menyuntikkan iklan dan promosi ke halaman web dan hasil pencarian. Adload memanfaatkan serangan Person-in-The-Middle (PiTM) dengan memasang proxy web untuk membajak hasil mesin pencari dan menyuntikkan iklan ke halaman web, sehingga menyedot pendapatan iklan dari pemegang situs web resmi ke operator adware.

Adload mampu membuka pintu belakang untuk mengunduh dan menginstal adware dan muatan lain selain mengumpulkan informasi sistem yang dikirim ke server C2 penyerang. Mengingat UpdateAgent dan Adload memiliki kemampuan untuk menginstal muatan tambahan, penyerang dapat memanfaatkan salah satu atau kedua vektor ini untuk berpotensi memberikan ancaman yang lebih berbahaya ke sistem target di kampanye mendatang.

Sebelum menginstal adware, UpdateAgent sekarang menghapus tanda yang ditambahkan oleh mekanisme keamanan macOS yang disebut Gatekeeper ke file yang diunduh. (Gatekeeper memastikan pengguna menerima peringatan bahwa perangkat lunak baru berasal dari Internet, dan juga memastikan perangkat lunak tidak cocok dengan jenis malware yang diketahui.)

Pengintaian UpdateAgent telah diperluas untuk mengumpulkan profil sistem dan data tipe SPHardware, yang, antara lain, mengungkapkan nomor seri Mac. Malware juga mulai memodifikasi folder LaunchDaemon alih-alih folder LaunchAgent seperti sebelumnya. Sementara perubahan memerlukan UpdateAgent untuk dijalankan sebagai administrator, perubahan memungkinkan trojan untuk menyuntikkan kode persisten yang berjalan sebagai root.

Setelah diinstal, malware mengumpulkan info sistem dan mengirimkannya ke server kontrol penyerang dan mengambil sejumlah tindakan lain. Rantai serangan eksploitasi terbaru terlihat seperti ini:

Microsoft mengatakan UpdateAgent menyamar sebagai perangkat lunak yang sah, seperti aplikasi video atau agen dukungan, yang disebarkan melalui pop-up atau iklan di situs web yang diretas atau berbahaya. Pengguna tampaknya harus ditipu untuk menginstal UpdateAgent, dan selama proses itu, Gatekeeper berfungsi seperti yang dirancang.

Selengkapnya : Arstechnica

Keracunan SEO mendorong Zoom yang dicampur malware, TeamViewer, installer Visual Studio

by

Kampanye keracunan SEO baru sedang berlangsung, menjatuhkan malware Batloader dan Atera Agent ke sistem profesional yang ditargetkan yang mencari unduhan alat produktivitas, seperti Zoom, TeamViewer, dan Visual Studio.

Kampanye ini bergantung pada kompromi situs web yang sah untuk menanam file berbahaya atau URL yang mengarahkan pengguna ke situs yang meng-host malware yang disamarkan sebagai aplikasi populer.

Setelah mengunduh dan mengeksekusi penginstal perangkat lunak, para korban tanpa sadar menginfeksi diri mereka sendiri dengan malware dan perangkat lunak akses jarak jauh.

Hasil pencarian keracunan

Sebagai bagian dari kampanye ini, aktor ancaman melakukan teknik optimisasi mesin pencari (SEO) ke situs yang dikompromikan secara sah ke dalam hasil pencarian untuk aplikasi populer.

Kata kunci yang ditargetkan adalah untuk aplikasi populer seperti Zoom, Microsoft Visual Studio 2015, TeamViewer, dan lainnya.

Ketika pengguna mengklik tautan mesin pencari, mereka akan dibawa ke situs yang dikompromikan yang mencakup Sistem Arah Lalu Lintas (TDS). Sistem Arah Lalu Lintas adalah skrip yang memeriksa berbagai atribut pengunjung dan menggunakan informasi itu untuk memutuskan apakah mereka harus ditampilkan halaman web yang sah atau diarahkan ke situs berbahaya lain di bawah kendali penyerang.

Dalam kampanye serupa di masa lalu, TDS hanya akan mengarahkan pengunjung jika mereka berasal dari hasil mesin pencari. Jika tidak, TDS akan menunjukkan kepada pengunjung posting blog yang normal dan sah.

Teknik ini membantu mencegah analisis oleh peneliti keamanan karena hanya akan menunjukkan perilaku jahat kepada mereka yang tiba dari mesin pencari.

Jika pengunjung diarahkan, situs berbahaya akan menunjukkan kepada mereka diskusi forum palsu di mana pengguna bertanya bagaimana mendapatkan aplikasi tertentu, dan pengguna palsu lainnya menyediakan tautan unduhan, seperti yang ditunjukkan di bawah ini.

Mengklik tautan unduhan akan menyebabkan situs membuat penginstal malware kemasan menggunakan nama aplikasi yang dicari. Karena paket malware termasuk perangkat lunak yang sah, banyak pengguna tidak akan menyadari bahwa mereka juga telah terinfeksi malware.

Beberapa domain berbahaya yang ditemukan oleh peneliti Mandiant yang digunakan dalam kampanye ini adalah:

  • cmdadminu[.] Com
  • zoomvideo-s[.] Com
  • cloudfiletehnology[.] Com
  • commandaadmin[.] Com
  • awan222[.] Com
  • websekir[.] Com
  • tim-viewer[.] site
  • zoomvideo[.] site
  • sweepcakesoffers[.] Com
  • pornofilmspremium[.] Com
  • kdsjdsadas[.] online
  • bartmaaz[.] Com
  • firsone1[.] online

Selengkapnya: Bleepingcomputer

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menghentikan pengembangan secara tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekstrak file dari sistem yang terinfeksi dan bergantung pada pemuat dan penghapusnya sendiri, yang meminimalkan jejak infeksi.

Setelah peneliti keamanan @3xp0rt memperoleh sampel, peneliti menemukan bahwa Mars Stealer adalah versi malware Oski yang didesain ulang dengan fungsionalitas yang ditingkatkan.

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian mulai menargetkan aplikasi berikut:

Aplikasi Internet: Google Chrome, Internet Explorer, Microsoft Edge (Versi Chromium), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Browser Sputnik, Browser Privasi Epik, Vivaldi, CocCoc, Browser Uran, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Dompet Rantai Binance, Yoroi, Dompet Bagus, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Semanggi, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONex, Dompet Nabox, KHC, Kuil, Dompet TezBox Cyano, Byone, OneKey, Dompet Daun, DAppPlay, BitClip, Gantungan Kunci Steem, Ekstensi Nash, Hycon Klien Lite, ZilPay, Dompet Coin98.

Dompet Crypto: Bitcoin Core dan semua turunannya (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Dompet yang ditargetkan oleh Mars Stealer
Sumber: 3xp0rt.com

Selain itu, Mars Stealer akan menangkap dan mengirimkan informasi dasar berikut ke C2:

  • IP dan negara
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain

    • Selengkapnya : Bleeping Computer

    Grabber Pencuri Mars Kustom
    Sumber: 3xp0rt.com

    Mars Stealer adalah malware ramping dengan ukuran hanya 95 KB, yang mencoba menghindari keamanan dengan menggunakan rutinitas yang menyembunyikan panggilan API dan teknik enkripsi string menggunakan kombinasi RC4 dan Base64.

    Informasi yang dikumpulkannya dibungkus dalam memori, sementara semua koneksi dengan C2 dilakukan dengan protokol SSL (Secure Sockets Layer), jadi mereka dienkripsi.

    Selain itu, kode Mars Stealer berisi interval fungsi Tidur untuk melakukan pemeriksaan waktu yang akan menghasilkan ketidakcocokan jika debugger digunakan.

    Fungsi tidur anti-debugging
    Sumber: 3xp0rt.com

    Terakhir, malware dapat menghapus dirinya sendiri setelah data pengguna dieksfiltrasi atau ketika operator memutuskan untuk menghapusnya.

    Mars Stealer juga memeriksa apakah pengguna berbasis di negara-negara yang secara historis merupakan bagian dari Persemakmuran Negara-Negara Merdeka, yang umum untuk banyak malware berbasis di Rusia.

    Jika ID bahasa perangkat cocok dengan Rusia, Belarusia, Kazakstan, Azerbaijan, Uzbekistan, dan Kazakstan, program akan keluar tanpa melakukan perilaku jahat apa pun.

    Pemeriksaan bahasa untuk pengecualian target
    Sumber: 3xp0rt.com

    Saat ini, Mars Stealer dijual seharga $140 hingga $160 (versi tambahan) di forum peretasan, sehingga kemungkinan besar akan jatuh ke tangan banyak pelaku ancaman dan digunakan dalam serangan di masa depan.

    Selengkapnya : Bleeping Computer