I criminali informatici che tentano di imporre il malware Mars Stealer agli utenti sembrano avere una predilezione per una tattica particolare: mascherarlo da software legittimo e benigno per indurre gli utenti a scaricarlo.
In una recente campagna di diffusione descritta dal ricercatore di malware di Morphisec Arnold Osipov, l’attore della minaccia ha distribuito il malware attraverso siti web clonati che offrono software ben noti come Apache Open Office.
La campagna ha vittimizzato studenti, membri di facoltà e creatori di contenuti in cerca di applicazioni legittime, così come varie aziende in Canada.
L’attore della minaccia ha preso di mira i canadesi utilizzando annunci Google mirati geograficamente, che puntavano al sito web clonato:
“L’attore sta pagando queste campagne Google Ads utilizzando informazioni rubate“, ha osservato Osipov.
In un’altra campagna, documentata dal CERT ucraino, un attore di minacce sta spingendo il malware attraverso e-mail che impersonano il Ministero dell’Istruzione e della Scienza dell’Ucraina, offrendo “un nuovo programma per scrivere sulla rivista” a cittadini e organizzazioni ucraine.
“Il testo dell’e-mail contiene un messaggio, presumibilmente, dal Ministero dell’Istruzione e della Scienza dell’Ucraina su ‘riviste e-learning’, così come un link al ‘programma’ e una password per l’archivio. Se si apre l’archivio e si esegue il file EXE, il computer sarà colpito da un malware che, secondo una serie di etichette (nonostante alcune differenze), è classificato come Mars Stealer”, ha avvertito CERT-UA.
Mars Stealer è un malware relativamente nuovo basato su Oski Stealer. Come descritto da un analista di malware che va sotto il nome di 3xp0rt, è in grado di afferrare informazioni di sistema, file e credenziali di autenticazione dai browser internet più diffusi, 2FA ed estensioni crittografiche nei browser basati su Chromium, e portafogli crittografici.
3xp0rt ha anche notato la funzione del malware per evitare l’infezione delle macchine della Comunità degli Stati Indipendenti (CIS), ma CERT-UA dice che la funzione è stata disabilitata nella variante analizzata.
I ricercatori di Morphisec sono riusciti a scoprire molti particolari su quella specifica campagna perché l’attore della minaccia ha apparentemente utilizzato una versione craccata del malware e istruzioni di configurazione dell’ambiente difettose, che ha permesso loro di prendere un picco “dietro la tenda” accedendo al server C2 dell’attaccante.
Inoltre, l’attore della minaccia ha compromesso il proprio computer con il Mars Stealer durante il debugging, così hanno raccolto ancora più intuizioni e informazioni che li hanno portati all’account GitLab dell’attore e alla scoperta che l’attore della minaccia parla russo.
Ci sono buone probabilità, però, che entrambe queste campagne siano state montate da attori di minacce opportunisti e motivati finanziariamente. Dopo tutto, Mars Stealer può essere acquistato su molti forum underground, siti onion e canali Telegram, per soli 160 dollari.
