Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menghentikan pengembangan secara tiba-tiba pada musim panas 2020.
Mars Stealer adalah malware yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.
Selain itu, malware dapat mengekstrak file dari sistem yang terinfeksi dan bergantung pada pemuat dan penghapusnya sendiri, yang meminimalkan jejak infeksi.
Setelah peneliti keamanan @3xp0rt memperoleh sampel, peneliti menemukan bahwa Mars Stealer adalah versi malware Oski yang didesain ulang dengan fungsionalitas yang ditingkatkan.
Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian mulai menargetkan aplikasi berikut:
Aplikasi Internet: Google Chrome, Internet Explorer, Microsoft Edge (Versi Chromium), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Browser Sputnik, Browser Privasi Epik, Vivaldi, CocCoc, Browser Uran, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.
Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.
Ekstensi Crypto: TronLink, MetaMask, Dompet Rantai Binance, Yoroi, Dompet Bagus, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Semanggi, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONex, Dompet Nabox, KHC, Kuil, Dompet TezBox Cyano, Byone, OneKey, Dompet Daun, DAppPlay, BitClip, Gantungan Kunci Steem, Ekstensi Nash, Hycon Klien Lite, ZilPay, Dompet Coin98.
Dompet Crypto: Bitcoin Core dan semua turunannya (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.
Sumber: 3xp0rt.com
Selain itu, Mars Stealer akan menangkap dan mengirimkan informasi dasar berikut ke C2:
- IP dan negara
- Nama komputer
- Nama pengguna
- Nama komputer domain
Selengkapnya : Bleeping Computer
Sumber: 3xp0rt.com
Mars Stealer adalah malware ramping dengan ukuran hanya 95 KB, yang mencoba menghindari keamanan dengan menggunakan rutinitas yang menyembunyikan panggilan API dan teknik enkripsi string menggunakan kombinasi RC4 dan Base64.
Informasi yang dikumpulkannya dibungkus dalam memori, sementara semua koneksi dengan C2 dilakukan dengan protokol SSL (Secure Sockets Layer), jadi mereka dienkripsi.
Selain itu, kode Mars Stealer berisi interval fungsi Tidur untuk melakukan pemeriksaan waktu yang akan menghasilkan ketidakcocokan jika debugger digunakan.
Sumber: 3xp0rt.com
Terakhir, malware dapat menghapus dirinya sendiri setelah data pengguna dieksfiltrasi atau ketika operator memutuskan untuk menghapusnya.
Mars Stealer juga memeriksa apakah pengguna berbasis di negara-negara yang secara historis merupakan bagian dari Persemakmuran Negara-Negara Merdeka, yang umum untuk banyak malware berbasis di Rusia.
Jika ID bahasa perangkat cocok dengan Rusia, Belarusia, Kazakstan, Azerbaijan, Uzbekistan, dan Kazakstan, program akan keluar tanpa melakukan perilaku jahat apa pun.
Sumber: 3xp0rt.com
Saat ini, Mars Stealer dijual seharga $140 hingga $160 (versi tambahan) di forum peretasan, sehingga kemungkinan besar akan jatuh ke tangan banyak pelaku ancaman dan digunakan dalam serangan di masa depan.
Selengkapnya : Bleeping Computer
