Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Pemasang Windows 11 palsu datang setelah kata sandi, kartu kredit, dan dompet kripto

by

Lebih dari satu miliar mesin menjalankan beberapa versi Microsoft Windows. Jangkauan sistem operasi diperluas lebih jauh ketika Windows 11 memasuki pasar.

Tetapi tidak semua orang mampu meningkatkan ke versi baru. Itu karena beberapa komputer lama tidak memiliki persyaratan sistem minimum untuk menangani Windows 11. Hal tersebut menyebabkan beberapa orang mencari salinan OS yang tidak resmi.

Jika sistem Anda terlalu tua untuk menjalankan Windows 11, yang terbaik adalah mendapatkan PC baru. Mencoba menghindari proses penginstalan dan mencari penginstal tidak resmi dapat mengarahkan Anda ke situs web palsu.

Tim Riset Ancaman HP menemukan domain yang menyerupai situs web Microsoft yang sah, situs tersebut berdomain windows-upgraded.com dan file tersebut mengandung malware berbahaya yang disebut RedLine yang biasa digunakan oleh penjahat dunia maya untuk mencuri kredensial, cookie browser, informasi perbankan, dan data dompet cryptocurrency.

“Ini mengumpulkan berbagai informasi tentang lingkungan saat ini, seperti nama pengguna, nama komputer, perangkat lunak yang diinstal, dan informasi perangkat keras. Malware ini juga mencuri kata sandi yang tersimpan dari browser web, melengkapi data secara otomatis seperti informasi kartu kredit, serta file dan dompet cryptocurrency,” jelas HP’s Threat Research dalam sebuah posting blog.

Penjahat dunia maya sangat pandai memalsukan situs web dan komunikasi resmi. Itu sebabnya Anda harus berhati-hati dan menghindari situs atau toko aplikasi pihak ketiga. Dan selalu waspada terhadap email dan teks phishing dan hindari mengklik tautan dalam pesan yang tidak diminta.

Salah satu cara korban menemukan situs web palsu yang mengklaim menawarkan salinan Windows 11 adalah melalui iklan yang ditemukan di media sosial. Jangan pernah percaya iklan media sosial! Sebagian besar waktu, Anda akan berakhir dengan perangkat yang terinfeksi malware, atau Anda akan membeli item dan menerima produk palsu jika Anda menerima apa pun.

Jika Anda ingin memutakhirkan ke Windows 11, lakukan hanya melalui pembaru di PC Anda atau dari situs resmi Microsoft.

Sumber : KOMANDO

ICO Dipukul 2650% Peningkatan Serangan Email

by

Kantor Komisaris Informasi (ICO) Inggris mengalami peningkatan serangan email sebesar 2650% selama tahun 2021, menurut angka resmi yang diperoleh oleh think tank Parliament Street setelah permintaan Kebebasan Informasi.

Angka-angka tersebut mengungkapkan bahwa serangan email yang menargetkan regulator perlindungan data dan privasi Inggris melonjak dari 150.317 pada Januari menjadi 4.135.075 pada Desember yang luar biasa. Data tersebut terkait dengan volume email phishing yang terdeteksi, malware yang terdeteksi dan diblokir, serta spam yang terdeteksi dan diblokir oleh ICO untuk setiap bulan tahun lalu.

Email spam mewakili sebagian besar serangan, dengan kasus melonjak 2775% dari Januari hingga Desember. Email phishing juga meningkat secara signifikan selama periode ini, sebesar 20%, sementara malware melonjak sebesar 423%.

Data menunjukkan lonjakan yang sangat besar dalam serangan email pada bulan Desember, dengan 4.125.992 pesan spam, 7886 email phishing, dan 1.197 malware. Lonjakan ini diperkirakan terkait dengan penyebaran cepat varian Omicron di Inggris pada akhir tahun lalu, dengan pelaku ancaman dapat memanfaatkan topik seperti pengujian dan vaksin sebagai daya tarik.

“Keamanan siber bukan hanya tentang melindungi titik akhir melalui solusi keamanan siber anti-malware atau email. Meskipun ini penting, sekarang ada berbagai titik akses bagi penjahat dunia maya untuk dimanfaatkan yang perlu diperhatikan oleh para pemimpin TI. Ini termasuk aplikasi rentan yang belum ditambal dan kerentanan jaringan, kredensial masuk yang dicuri atau dibeli secara ilegal atau bahkan dengan meretas perangkat pintar yang tidak dilindungi.”

Steven Peake, manajer Barracuda Networks berkomentar: “Pandemi terus menjadi katalisator bagi penjahat cyber oportunistik untuk mencoba dan memangsa orang-orang yang tidak curiga dan rentan. Penelitian kami baru-baru ini menunjukkan lonjakan 521% dalam serangan phishing terkait tes COVID-19, jadi tidak mengherankan jika melihat organisasi besar, seperti ICO, terkena ancaman dalam jumlah besar karena mewakili target yang menguntungkan. Email phishing, malware, dan spam, khususnya, merupakan sebagian besar ancaman yang dihadapi organisasi ini, sehingga mereka perlu menerapkan langkah-langkah untuk melindungi diri mereka sendiri. Para penyerang siber ini tidak akan pergi ke mana pun dalam waktu dekat.”

Tahun lalu, pemerintah Inggris mengumumkan rencana untuk mengubah struktur ICO sebagai bagian dari rencana untuk mereformasi sektor data negara.

Sumber : Info Security

Gelombang serangan MageCart menargetkan ratusan situs Magento yang sudah ketinggalan zaman

by

Analis telah menemukan sumber pelanggaran massal lebih dari 500 toko e-niaga yang menjalankan platform Magento 1 dan melibatkan satu domain yang memuat skimmer kartu kredit pada semuanya.

Menurut Sansec, serangan itu menjadi jelas akhir bulan lalu ketika crawler mereka menemukan 374 infeksi pada hari yang sama, semuanya menggunakan malware yang sama.

Domain tempat pelaku ancaman memuat malware adalah naturalfreshmall[.]com, saat ini offline, dan tujuan pelaku ancaman adalah mencuri informasi kartu kredit pelanggan di toko online yang ditargetkan.

Investigasi Sansec selanjutnya mengungkap bahwa penyerang menyalahgunakan kerentanan yang diketahui di plugin Quickview untuk menyuntikkan pengguna admin Magento jahat yang kemudian dapat menjalankan kode dengan hak istimewa tertinggi.

Penyalahgunaan terjadi melalui penambahan aturan validasi ke tabel customer_eav_attribute. Ini menipu aplikasi host untuk membuat objek jahat, yang kemudian digunakan untuk membuat pintu belakang sederhana (api_1.php).

Menambahkan aturan di database situs web.
Sumber: Sansec

Selain menyuntikkan skimmer kartu kredit, peretas juga dapat menggunakan pintu belakang api_1.php untuk menjalankan perintah di server jarak jauh, yang mengarah ke pengambilalihan situs secara menyeluruh.

Sansec menunjukkan bahwa dalam kasus ekstrim, musuh menyuntikkan sebanyak 19 backdoors pada satu platform e-commerce, mungkin bereksperimen untuk mencari tahu apa yang terbaik untuk tujuan mereka atau hanya menjadi sangat serius tentang redundansinya.

Adobe telah berhenti mendukung cabang Magento 1 dari platform e-niaga populer sejak 30 Juni 2020, tetapi ribuan situs masih menggunakan perangkat lunak usang.

Hal ini membuat situs rentan terhadap berbagai serangan peretas, dan dengan ekstensi, menempatkan detail sensitif pelanggan mereka dalam risiko.

Rincian ini biasanya mencakup nomor kartu kredit, alamat pengiriman, nama, nomor telepon, alamat email, dan umumnya semua yang diperlukan untuk melakukan pemesanan online.

Sangat disarankan agar semua admin Magento mengonfirmasi bahwa mereka menggunakan platform versi terbaru dan memutakhirkan jika menggunakan versi lama yang tidak didukung.

Sumber : Bleeping Computer

Peretas Kimsuki menggunakan RAT komoditas dengan malware Gold Dragon khusus

by

Peneliti Korea Selatan melihat aktivitas baru dari kelompok peretasan Kimsuky, yang melibatkan alat akses jarak jauh sumber terbuka komoditas yang dijatuhkan dengan pintu belakang khusus mereka, Gold dragon.

Grup ini telah menunjukkan keserbagunaan operasional yang mengesankan dan pluralisme aktivitas ancaman, terlibat dalam distribusi malware, phishing, pengumpulan data, dan bahkan pencurian cryptocurrency.

Analis di ASEC (AhnLab), Kimsuky menggunakan xRAT dalam serangan yang ditargetkan terhadap entitas Korea Selatan. Kampanye dimulai pada 24 Januari 2022, dan masih berlangsung.

xRAT adalah akses jarak jauh sumber terbuka dan alat administrasi yang tersedia secara gratis di GitHub. Malware ini menyediakan berbagai fitur seperti keylogging, remote shell, tindakan pengelola file, proxy HTTPS terbalik, komunikasi AES-128, dan rekayasa sosial otomatis.

Pelaku ancaman yang canggih dapat memilih untuk menggunakan RAT komoditas karena, untuk operasi pengintaian dasar, alat ini sangat memadai dan tidak memerlukan banyak konfigurasi.

Hal ini memungkinkan pelaku ancaman untuk memfokuskan sumber daya mereka pada pengembangan malware tahap selanjutnya yang memerlukan fungsionalitas lebih khusus tergantung pada alat/praktik pertahanan yang ada pada target.

Selain itu, RAT komoditas berbaur dengan aktivitas dari spektrum pelaku ancaman yang luas, sehingga mempersulit analis untuk mengaitkan aktivitas jahat dengan kelompok tertentu.

Pintu belakang Gold Dragon
Gold Dragon adalah backdoor tahap kedua yang biasanya disebarkan Kimsuky setelah serangan tahap pertama berbasis PowerShell tanpa file yang memanfaatkan steganografi.

Namun, seperti yang dijelaskan ASEC dalam laporannya, varian yang mereka temukan dalam kampanye terbaru ini memiliki fungsi tambahan seperti eksfiltrasi informasi sistem dasar.

Malware tidak lagi menggunakan proses sistem untuk fungsi ini, tetapi menginstal alat xRAT untuk mencuri informasi yang diperlukan secara manual.

RAT berada di bawah penyamaran yang dapat dieksekusi bernama cp1093.exe, yang menyalin proses PowerShell normal (powershell_ise.exe) ke jalur “C:\ProgramData\” dan dijalankan melalui proses lekukan.

Pada aspek operasional Naga Emas, ia terus menggunakan metode pengosongan proses yang sama pada iexplore.exe dan svchost.exe, dan masih mencoba untuk menonaktifkan fitur deteksi waktu nyata di produk AhnLab AV.

Selanjutnya, penginstal menambahkan kunci registri baru untuk membuat persistensi startup untuk muatan malware (glu32.dll).

Entri registri baru untuk muatan utama
Sumber: ASEC

Akhirnya, Kimsuky menjatuhkan uninstaller (UnInstall_kr5829.co.in.exe) yang dapat menghapus jejak kompromi jika dan saat dibutuhkan.

Kimsuky’s infection trace wiper
Source: ASEC

AhnLab menyarankan agar pengguna tidak membuka lampiran pada email dari sumber yang tidak dikenal, karena ini tetap menjadi saluran utama distribusi malware untuk Kimsuky.

Sumber : Bleeping Computer

Malware Medusa Bergabung dengan Jaringan Distribusi Android Flubot

by

Flubot, spyware Android yang telah menyebar secara viral sejak tahun lalu, telah meningkatkan infrastrukturnya ke ancaman seluler lain yang dikenal sebagai Medusa.

Malware Flubot (alias Cabassous) dikirimkan ke target melalui teks SMS yang meminta mereka untuk menginstal aplikasi “pengiriman paket yang tidak terjawab” atau versi Flash Player palsu. Jika korban tertipu, malware diinstal, kemudian menambahkan perangkat yang terinfeksi ke botnet, setelah itu mendapatkan izin, mencuri informasi dan kredensial perbankan, mencabut kata sandi yang tersimpan di perangkat dan membuang berbagai informasi pribadi.

Rupanya, Medusa menyukai potongan jib Flubot: “Kecerdasan ancaman kami menunjukkan bahwa Medusa mengikuti dengan nama aplikasi, nama paket, dan ikon serupa yang persis sama,” catat peneliti ThreatFabric dalam analisis hari Senin. “Dalam waktu kurang dari sebulan, pendekatan distribusi ini memungkinkan Medusa menjangkau lebih dari 1.500 perangkat yang terinfeksi dalam satu botnet, menyamar sebagai DHL.”

Tidak seperti Flubot, yang terutama menyebar di Eropa, Medusa lebih merupakan ancaman dengan peluang yang sama dalam hal geografi. Kampanye terbaru menargetkan pengguna dari Kanada, Turki, dan Amerika Serikat.

“Setelah menargetkan organisasi keuangan Turki pada periode pertama kegiatannya pada tahun 2020, Medusa kini telah mengalihkan fokusnya ke Amerika Utara dan Eropa, yang menghasilkan [a] sejumlah besar perangkat yang terinfeksi,” catat peneliti ThreatFabric. “Didukung dengan beberapa fitur akses jarak jauh, Medusa menimbulkan ancaman kritis bagi organisasi keuangan di wilayah yang ditargetkan.”

Pertama kali ditemukan pada Juli 2020, Medusa (terkait dengan keluarga Tanglebot dari RAT) adalah trojan mobile banking yang dapat memperoleh kontrol hampir penuh atas perangkat pengguna, termasuk kemampuan untuk keylogging, aktivitas trojan perbankan, dan streaming audio dan video. Untuk boot, ia telah menerima beberapa pembaruan dan peningkatan dalam teknik pengaburannya saat ia melompat pada coattails infrastruktur Flubot, kata para peneliti.

Pertama, ia sekarang memiliki mesin skrip aksesibilitas yang memungkinkan aktor untuk melakukan serangkaian tindakan atas nama korban, dengan bantuan Layanan Aksesibilitas Android.

Pencatatan peristiwa aksesibilitas adalah peningkatan pendamping ke yang di atas. Dengan perintah khusus, Medusa dapat mengumpulkan informasi tentang jendela aktif, termasuk posisi bidang dan elemen tertentu dalam antarmuka pengguna, teks apa pun di dalam elemen tersebut, dan apakah bidang tersebut adalah bidang kata sandi.

Cuplikan berikut menunjukkan kode yang mengumpulkan informasi jendela aktif melalui node-nya:

Selanjutnya, dalam memeriksa panel back-end Medusa, peneliti mengamati operator malware yang menandai aplikasi perbankan dengan tag “BANK”, untuk mengontrol/mencatat bidang input.

Server perintah-dan-kontrol (C2) juga dapat memerintahkan Medusa untuk melakukan berbagai macam pekerjaan RAT, termasuk mengklik elemen UI tertentu, tidur, screenshot, mengunci layar, menyediakan daftar aplikasi terbaru dan membuka pemberitahuan terbaru. .

Flubot Mengembangkan Kemampuannya
Para peneliti juga memperhatikan bahwa penambahan Medusa ke dalam campuran tidak memperlambat pengembangan Flubot sendiri. Mereka menjelaskan bahwa sekarang memiliki “kemampuan baru yang belum pernah terlihat sebelumnya di malware mobile banking.”

Intinya: Dalam versi 5.4, Medusa mengambil kemampuan untuk menyalahgunakan fitur “Pemberitahuan Balasan Langsung” dari OS Android, yang memungkinkan malware untuk langsung membalas pemberitahuan push dari aplikasi yang ditargetkan pada perangkat korban. Pengguna tidak menyadari aktivitas tersebut, sehingga Flubot dapat mencegat mereka – membuka pintu untuk menggagalkan otentikasi dua faktor dan banyak lagi, kata para peneliti.

Potensi penyalahgunaan lain dari fungsi ini adalah untuk menanggapi interaksi aplikasi sosial dengan “pemberitahuan” yang berisi tautan phishing berbahaya.

Sumber : Threat Post

Microsoft: Malware Mac ini semakin pintar dan berbahaya

by

Microsoft telah merinci evolusi malware Mac yang relatif baru yang disebut UpdateAgent yang mulai mencuri informasi sistem pada akhir 2020 tetapi telah berubah menjadi alat untuk mengirimkan adware dan kemungkinan ancaman lainnya.

Salah satu fitur UpdateAgent terbaru dan paling ampuh adalah kemampuan untuk melewati sistem Gatekeeper bawaan Apple yang dimaksudkan untuk memungkinkan hanya aplikasi yang tepercaya dan ditandatangani untuk berjalan di Mac.

Microsoft menandai malware itu sekarang karena tampaknya sedang dalam pengembangan berkelanjutan. Saat ini, ia memasang ancaman adware “yang persisten luar biasa” yang disebut Adload, tetapi Microsoft memperingatkan bahwa itu dapat digunakan untuk mendistribusikan muatan lain yang lebih berbahaya di masa mendatang. Misalnya, Microsoft menemukan pembuatnya meng-host muatan tambahan di layanan S3 dan CloudFront Amazon Web Services.

Meskipun memang mengharuskan korban untuk menginstal aplikasi yang menyamar sebagai perangkat lunak yang sah, seperti aplikasi video atau agen dukungan yang dipromosikan dalam pop-up iklan, kemampuan untuk melewati kontrol Gatekeeper sangat penting. Itu juga dapat menggunakan izin pengguna yang ada untuk menghapus bukti keberadaannya di sistem.

Selengkapnya: ZDNet

Malware Mac menyebar selama 14 bulan menginstal pintu belakang pada sistem yang terinfeksi

by

Malware Mac yang dikenal sebagai UpdateAgent telah menyebar selama lebih dari satu tahun, pengembangnya menambahkan lonceng dan peluit baru termasuk mendorong payload adware tahap kedua agresif yang menginstal backdoor persisten pada Mac yang terinfeksi.

Keluarga malware UpdateAgent mulai beredar paling lambat November atau Desember 2020 sebagai pencuri informasi yang relatif mendasar. Itu mengumpulkan nama produk, nomor versi, dan informasi sistem dasar lainnya. Metodenya yaitu, kemampuan untuk menjalankan setiap kali Mac melakukan booting—juga cukup sederhana.

Serangan Person-in-The-Middle
UpdateAgent telah berkembang semakin maju. Selain data yang dikirim ke server penyerang, aplikasi juga mengirimkan “detak jantung” yang memberi tahu penyerang jika malware masih berjalan. Itu juga menginstal adware yang dikenal sebagai Adload.

Peneliti Microsoft menulis:

Setelah adware diinstal, ia menggunakan perangkat lunak dan teknik injeksi iklan untuk mencegat komunikasi online perangkat dan mengarahkan lalu lintas pengguna melalui server operator adware, menyuntikkan iklan dan promosi ke halaman web dan hasil pencarian. Adload memanfaatkan serangan Person-in-The-Middle (PiTM) dengan memasang proxy web untuk membajak hasil mesin pencari dan menyuntikkan iklan ke halaman web, sehingga menyedot pendapatan iklan dari pemegang situs web resmi ke operator adware.

Adload mampu membuka pintu belakang untuk mengunduh dan menginstal adware dan muatan lain selain mengumpulkan informasi sistem yang dikirim ke server C2 penyerang. Mengingat UpdateAgent dan Adload memiliki kemampuan untuk menginstal muatan tambahan, penyerang dapat memanfaatkan salah satu atau kedua vektor ini untuk berpotensi memberikan ancaman yang lebih berbahaya ke sistem target di kampanye mendatang.

Sebelum menginstal adware, UpdateAgent sekarang menghapus tanda yang ditambahkan oleh mekanisme keamanan macOS yang disebut Gatekeeper ke file yang diunduh. (Gatekeeper memastikan pengguna menerima peringatan bahwa perangkat lunak baru berasal dari Internet, dan juga memastikan perangkat lunak tidak cocok dengan jenis malware yang diketahui.)

Pengintaian UpdateAgent telah diperluas untuk mengumpulkan profil sistem dan data tipe SPHardware, yang, antara lain, mengungkapkan nomor seri Mac. Malware juga mulai memodifikasi folder LaunchDaemon alih-alih folder LaunchAgent seperti sebelumnya. Sementara perubahan memerlukan UpdateAgent untuk dijalankan sebagai administrator, perubahan memungkinkan trojan untuk menyuntikkan kode persisten yang berjalan sebagai root.

Setelah diinstal, malware mengumpulkan info sistem dan mengirimkannya ke server kontrol penyerang dan mengambil sejumlah tindakan lain. Rantai serangan eksploitasi terbaru terlihat seperti ini:

Microsoft mengatakan UpdateAgent menyamar sebagai perangkat lunak yang sah, seperti aplikasi video atau agen dukungan, yang disebarkan melalui pop-up atau iklan di situs web yang diretas atau berbahaya. Pengguna tampaknya harus ditipu untuk menginstal UpdateAgent, dan selama proses itu, Gatekeeper berfungsi seperti yang dirancang.

Selengkapnya : Arstechnica

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menghentikan pengembangan secara tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekstrak file dari sistem yang terinfeksi dan bergantung pada pemuat dan penghapusnya sendiri, yang meminimalkan jejak infeksi.

Setelah peneliti keamanan @3xp0rt memperoleh sampel, peneliti menemukan bahwa Mars Stealer adalah versi malware Oski yang didesain ulang dengan fungsionalitas yang ditingkatkan.

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian mulai menargetkan aplikasi berikut:

Aplikasi Internet: Google Chrome, Internet Explorer, Microsoft Edge (Versi Chromium), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Browser Sputnik, Browser Privasi Epik, Vivaldi, CocCoc, Browser Uran, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Dompet Rantai Binance, Yoroi, Dompet Bagus, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Semanggi, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONex, Dompet Nabox, KHC, Kuil, Dompet TezBox Cyano, Byone, OneKey, Dompet Daun, DAppPlay, BitClip, Gantungan Kunci Steem, Ekstensi Nash, Hycon Klien Lite, ZilPay, Dompet Coin98.

Dompet Crypto: Bitcoin Core dan semua turunannya (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Dompet yang ditargetkan oleh Mars Stealer
Sumber: 3xp0rt.com

Selain itu, Mars Stealer akan menangkap dan mengirimkan informasi dasar berikut ke C2:

  • IP dan negara
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain

    • Selengkapnya : Bleeping Computer

    Grabber Pencuri Mars Kustom
    Sumber: 3xp0rt.com

    Mars Stealer adalah malware ramping dengan ukuran hanya 95 KB, yang mencoba menghindari keamanan dengan menggunakan rutinitas yang menyembunyikan panggilan API dan teknik enkripsi string menggunakan kombinasi RC4 dan Base64.

    Informasi yang dikumpulkannya dibungkus dalam memori, sementara semua koneksi dengan C2 dilakukan dengan protokol SSL (Secure Sockets Layer), jadi mereka dienkripsi.

    Selain itu, kode Mars Stealer berisi interval fungsi Tidur untuk melakukan pemeriksaan waktu yang akan menghasilkan ketidakcocokan jika debugger digunakan.

    Fungsi tidur anti-debugging
    Sumber: 3xp0rt.com

    Terakhir, malware dapat menghapus dirinya sendiri setelah data pengguna dieksfiltrasi atau ketika operator memutuskan untuk menghapusnya.

    Mars Stealer juga memeriksa apakah pengguna berbasis di negara-negara yang secara historis merupakan bagian dari Persemakmuran Negara-Negara Merdeka, yang umum untuk banyak malware berbasis di Rusia.

    Jika ID bahasa perangkat cocok dengan Rusia, Belarusia, Kazakstan, Azerbaijan, Uzbekistan, dan Kazakstan, program akan keluar tanpa melakukan perilaku jahat apa pun.

    Pemeriksaan bahasa untuk pengecualian target
    Sumber: 3xp0rt.com

    Saat ini, Mars Stealer dijual seharga $140 hingga $160 (versi tambahan) di forum peretasan, sehingga kemungkinan besar akan jatuh ke tangan banyak pelaku ancaman dan digunakan dalam serangan di masa depan.

    Selengkapnya : Bleeping Computer