Blog

Mars Stealer, el nuevo malware dirigido al robo de datos del navegador, Criptomonedas y el 2FA

Un nuevo y potente malware bajo el nombre de «Mars Stealer», ha estado repercutiendo en ciberespacio desde hace ya unos meses otras y por lo visto, parte de su código fuente tiene una gran similitud con el Malware llamado «Oski», el cual fue descontinuado y cerrado por su desarrollo abruptamente en el 2020. Mars Stealer es un malware de tipo troyano, orientado al robo información de todos los navegadores web populares, plugin de autenticación 2FA y múltiples extensiones y carteras de criptomonedas.

Además, el malware puede exfiltrar archivos del sistema comprometido y depende de su propio cargador y limpiador, lo que minimiza la huella de la infección y de detección por parte de los sistemas de seguridad tradicionales.

En julio de 2020, los desarrolladores detrás de Oski, cerraron sus operaciones tras dejar de responder a los compradores y el cierre de su canal de Telegram. Casi un año después, un nuevo malware de robo de información llamado «Mars Stealer» comenzó a promocionarse en diferentes foros de hackers de habla rusa.

Screenshot de la publicación y promoción de Mars Stelear
Imagen: 3xp0rt

El Malware Mars Stealer utiliza un «grabber» personalizado que recupera su configuración por defecto del Command and Control y luego procede lleva a cabo operaciones de robo de datos en las siguientes aplicaciones:

Navegadores Webs: Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplicaciones 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Extensiones web de Wallets: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, Neoline, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.

Crypto wallets: Bitcoin Core and all derivatives (Dogecoin, Zcash, DashCore, LiteCoin, etc), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Algunas de las características que son enviadas al Command and Control:

  • Dirección IP
  • Ruta de trabajo del archivo .EXE
  • Hora local y zona horaria
  • Idioma del Sistema
  • Disposición del teclado en el idioma
  • Computadora portátil o de torre
  • Modelo de procesador
  • Nombre del ordenador
  • Nombre del usuario
  • Nombre del ordenador del dominio
  • ID de la máquina
  • GUID
  • Software instalado y sus versiones

Mars Stealer también comprueba si el usuario se encuentra en países que históricamente forman parte de la Comunidad de Estados Independientes, lo que es habitual en muchos malware de origen ruso. Sí el ID de idioma del dispositivo coincide con Rusia, Bielorrusia, Kazajistán, Azerbaiyán, Uzbekistán y Kazajistán, el programa saldrá sin realizar ningún comportamiento malicioso.

Además, el malware tiene que tener una fecha de compilación no más antigua que la hora del sistema; de lo contrario, sale del proceso de ejecución. Actualmente, Mars Stealer se vende por entre $140 y $160 dólares (versión extendida) en los foros de hacking de habla inglesa, por lo que es probable que llegue a manos de numerosos actores de amenazas y se utilice en diferentes ataques en el futuro.

Más información

https://3xp0rt.com/posts/mars-stealer

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required