Инфостилер Mars распространяется через рекламу OpenOffice в Google - «Новости» » Интернет технологии
sitename
Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
 В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
 Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
 В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
 ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
 Realme представила тонкий аккумулятор на 15 000 мА·ч и первый в мире смартфон с термоэлектрическим кулером - «Новости сети»
Realme представила тонкий аккумулятор на 15 000 мА·ч и первый в мире смартфон с термоэлектрическим кулером - «Новости сети»
 Phison сняла с себя ответственность за сбои SSD после обновления Windows 11 - «Новости сети»
Phison сняла с себя ответственность за сбои SSD после обновления Windows 11 - «Новости сети»
 MSI показала OLED-монитор, который непрерывно работал 533 дня и «почти не выгорел» - «Новости сети»
MSI показала OLED-монитор, который непрерывно работал 533 дня и «почти не выгорел» - «Новости сети»
 Сюжетные дополнения к S.T.A.L.K.E.R. 2: Heart of Chornobyl выйдут из тени в «ближайшем будущем» — первое уже в активной разработке - «Новости сети»
Сюжетные дополнения к S.T.A.L.K.E.R. 2: Heart of Chornobyl выйдут из тени в «ближайшем будущем» — первое уже в активной разработке - «Новости сети»
 Хакер сделал конкурента ChatGPT соучастником вымогательской кампании: ИИ искал уязвимости и писал угрозы - «Новости сети»
Хакер сделал конкурента ChatGPT соучастником вымогательской кампании: ИИ искал уязвимости и писал угрозы - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Инфостилер Mars распространяется через рекламу OpenOffice в Google - «Новости»

✔Инфостилер Mars распространяется через рекламу OpenOffice в Google - «Новости»

02 апреля 2022 1 152 Новости / Изображения / Добавления стилей / Отступы и поля / Заработок / Ссылки / Преимущества стилей / Вёрстка / Сайтостроение 0

Недавно появившийся инфостилер Mars еще только набирает популярность в хакерской среде, а аналитики уже отмечают первые масштабные кампании с его использованием.


Mars представляет собой переработанную версию малвари Oski, разработка которой была прекращена в 2020 году. Вредонос обладает широкими возможностями в области кражи информации и атакует весьма широкий спектр приложений, включая популярные браузеры, плагины двухфакторной аутентификации, а также множество расширений и кошельков для работы с криптовалютами.





Также  Mars собирает и отправляет своим операторам следующую информацию о системе жертвы:



  • IP-адрес и страна;

  • путь к EXE-файлу;

  • местное время и часовой пояс;

  • язык системы;

  • языковая раскладка клавиатуры;

  • ноутбук или десктоп;

  • модель процессора;

  • имя компьютера;

  • имя пользователя;

  • имя компьютера в домене;

  • идентификатор машины;

  • GUID;

  • установленные программы и их версии.



Админка Mars

До недавнего времени Mars, рекламируемый на многих хакерских форумах по цене от 140 до 160 долларов за пожизненную лицензию, рос довольно медленно, но, похоже, недавнее закрытие Raccoon Stealer вынудило хакеров искать альтернативы и обратить внимание на Mars. Дошло до того, что авторы вредоноса писали, что едва справляются с наплывом новых клиентов.





Чаще всего эта малварь распространяется через спамерские письма, содержащие исполняемый файл в архиве, ссылку для скачивания или вредоносный документ. Однако порой Mars распространяется и через мошеннические сайты. Одну из таких кампаний, которых определенно становится больше после наплыва клиентов, обнаружили эксперты компании Morphisec. По их данным, малварь использует рекламу Google Ads, чтобы выводить сайты-клоны опенсорсного OpenOffice на верхние позиции в результатах поиска в Канаде.


Установщик OpenOffice на таком фальшивом сайте представляет собой исполняемый файл Mars, упакованный с помощью криптора Babadeda или загрузчика Autoit.


Интересно, что вскоре после релиза Mars появилась и взломанная версия малвари с инструкцией, в которой есть серьезные недостатки. В частности, она предписывает настроить полный доступ (777) ко всему проекту, включая каталог с логами жертв.



Инфостилер Mars распространяется через рекламу OpenOffice в Google - «Новости»


Логи представляют собой файл ZIP, содержащий данные, украденные малварью у пользователей и загруженные на управляющий сервер. Неточность в инструкции привела к тому, что злоумышленники неправильно настраивают свою среду, открывая всему миру важную информацию.


Исследователи выяснили, что в рамках упомянутой выше кампании украденная информация включала данные автозаполнения браузера, данные о расширении браузера, информацию о банковских картах, IP-адрес, код страны и часовой пояс.





Поскольку следовавший инструкции оператор малвари заразил копией Mars и самого себя (по видимому, во время отладки), его личные данные тоже оказались раскрыты. Этот просчет позволил экспертам Morphisec связать атаки с русскоязычным пользователем, обнаружив его аккаунты на GitLab, украденные учетные данные, используемые для оплаты Google Ads, и многое другое.


Команда Morphisec Labs сообщает, что в общей сложности ей удалось выявить более 50 зараженных пользователей доменов, скомпрометировавших доменные пароли своих компаний. Подавляющее большинство жертв — это студенты, преподаватели и создатели контента, которые искали легитимные приложения, но вместо них получали малварь.


Также Morphisec удалось выделить учетные данные, которые привели к полной компрометации неназванного поставщика инфраструктурных решений из Канады и ряда известных канадских сервисных компаний. Эксперты уже связались с пострадавшими и уведомили об случившемся власти.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Недавно появившийся инфостилер Mars еще только набирает популярность в хакерской среде, а аналитики уже отмечают первые масштабные кампании с его использованием. Mars представляет собой переработанную версию малвари Oski, разработка которой была прекращена в 2020 году. Вредонос обладает широкими возможностями в области кражи информации и атакует весьма широкий спектр приложений, включая популярные браузеры, плагины двухфакторной аутентификации, а также множество расширений и кошельков для работы с криптовалютами. Также Mars собирает и отправляет своим операторам следующую информацию о системе жертвы: IP-адрес и страна; путь к EXE-файлу; местное время и часовой пояс; язык системы; языковая раскладка клавиатуры; ноутбук или десктоп; модель процессора; имя компьютера; имя пользователя; имя компьютера в домене; идентификатор машины; GUID; установленные программы и их версии. Админка Mars До недавнего времени Mars, рекламируемый на многих хакерских форумах по цене от 140 до 160 долларов за пожизненную лицензию, рос довольно медленно, но, похоже, недавнее закрытие Raccoon Stealer вынудило хакеров искать альтернативы и обратить внимание на Mars. Дошло до того, что авторы вредоноса писали, что едва справляются с наплывом новых клиентов. Чаще всего эта малварь распространяется через спамерские письма, содержащие исполняемый файл в архиве, ссылку для скачивания или вредоносный документ. Однако порой Mars распространяется и через мошеннические сайты. Одну из таких кампаний, которых определенно становится больше после наплыва клиентов, обнаружили эксперты компании Morphisec. По их данным, малварь использует рекламу Google Ads, чтобы выводить сайты-клоны опенсорсного OpenOffice на верхние позиции в результатах поиска в Канаде. Установщик OpenOffice на таком фальшивом сайте представляет собой исполняемый файл Mars, упакованный с помощью криптора Babadeda или загрузчика Autoit. Интересно, что вскоре после релиза Mars появилась и взломанная версия малвари с инструкцией, в которой есть серьезные недостатки. В частности, она предписывает настроить полный доступ (777) ко всему проекту, включая каталог с логами жертв. Логи представляют собой файл ZIP, содержащий данные, украденные малварью у пользователей и загруженные на управляющий сервер. Неточность в инструкции привела к тому, что злоумышленники неправильно настраивают свою среду, открывая всему миру важную информацию. Исследователи выяснили, что в рамках упомянутой выше кампании украденная информация включала данные автозаполнения браузера, данные о расширении браузера, информацию о банковских картах, IP-адрес, код страны и часовой пояс. Поскольку следовавший инструкции оператор малвари заразил копией Mars и самого себя (по видимому, во время отладки), его личные данные тоже оказались раскрыты. Этот просчет позволил экспертам Morphisec связать атаки с русскоязычным пользователем, обнаружив его аккаунты на GitLab, украденные учетные данные, используемые для оплаты Google Ads, и многое другое. Команда Morphisec Labs сообщает, что в общей сложности ей удалось выявить более 50 зараженных пользователей доменов, скомпрометировавших доменные пароли своих компаний. Подавляющее большинство жертв — это студенты, преподаватели и создатели контента, которые искали легитимные приложения, но вместо них получали малварь. Также Morphisec удалось выделить учетные данные, которые привели к полной компрометации неназванного поставщика инфраструктурных решений из Канады и ряда известных канадских сервисных компаний. Эксперты уже связались с пострадавшими и уведомили об случившемся власти.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: