Инфостилер Mars распространяется через рекламу OpenOffice в Google - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Инфостилер Mars распространяется через рекламу OpenOffice в Google - «Новости»

✔Инфостилер Mars распространяется через рекламу OpenOffice в Google - «Новости»

02 апреля 2022 1 112 Новости / Изображения / Добавления стилей / Отступы и поля / Заработок / Ссылки / Преимущества стилей / Вёрстка / Сайтостроение 0

Недавно появившийся инфостилер Mars еще только набирает популярность в хакерской среде, а аналитики уже отмечают первые масштабные кампании с его использованием.


Mars представляет собой переработанную версию малвари Oski, разработка которой была прекращена в 2020 году. Вредонос обладает широкими возможностями в области кражи информации и атакует весьма широкий спектр приложений, включая популярные браузеры, плагины двухфакторной аутентификации, а также множество расширений и кошельков для работы с криптовалютами.





Также  Mars собирает и отправляет своим операторам следующую информацию о системе жертвы:



  • IP-адрес и страна;

  • путь к EXE-файлу;

  • местное время и часовой пояс;

  • язык системы;

  • языковая раскладка клавиатуры;

  • ноутбук или десктоп;

  • модель процессора;

  • имя компьютера;

  • имя пользователя;

  • имя компьютера в домене;

  • идентификатор машины;

  • GUID;

  • установленные программы и их версии.



Админка Mars

До недавнего времени Mars, рекламируемый на многих хакерских форумах по цене от 140 до 160 долларов за пожизненную лицензию, рос довольно медленно, но, похоже, недавнее закрытие Raccoon Stealer вынудило хакеров искать альтернативы и обратить внимание на Mars. Дошло до того, что авторы вредоноса писали, что едва справляются с наплывом новых клиентов.





Чаще всего эта малварь распространяется через спамерские письма, содержащие исполняемый файл в архиве, ссылку для скачивания или вредоносный документ. Однако порой Mars распространяется и через мошеннические сайты. Одну из таких кампаний, которых определенно становится больше после наплыва клиентов, обнаружили эксперты компании Morphisec. По их данным, малварь использует рекламу Google Ads, чтобы выводить сайты-клоны опенсорсного OpenOffice на верхние позиции в результатах поиска в Канаде.


Установщик OpenOffice на таком фальшивом сайте представляет собой исполняемый файл Mars, упакованный с помощью криптора Babadeda или загрузчика Autoit.


Интересно, что вскоре после релиза Mars появилась и взломанная версия малвари с инструкцией, в которой есть серьезные недостатки. В частности, она предписывает настроить полный доступ (777) ко всему проекту, включая каталог с логами жертв.



Инфостилер Mars распространяется через рекламу OpenOffice в Google - «Новости»


Логи представляют собой файл ZIP, содержащий данные, украденные малварью у пользователей и загруженные на управляющий сервер. Неточность в инструкции привела к тому, что злоумышленники неправильно настраивают свою среду, открывая всему миру важную информацию.


Исследователи выяснили, что в рамках упомянутой выше кампании украденная информация включала данные автозаполнения браузера, данные о расширении браузера, информацию о банковских картах, IP-адрес, код страны и часовой пояс.





Поскольку следовавший инструкции оператор малвари заразил копией Mars и самого себя (по видимому, во время отладки), его личные данные тоже оказались раскрыты. Этот просчет позволил экспертам Morphisec связать атаки с русскоязычным пользователем, обнаружив его аккаунты на GitLab, украденные учетные данные, используемые для оплаты Google Ads, и многое другое.


Команда Morphisec Labs сообщает, что в общей сложности ей удалось выявить более 50 зараженных пользователей доменов, скомпрометировавших доменные пароли своих компаний. Подавляющее большинство жертв — это студенты, преподаватели и создатели контента, которые искали легитимные приложения, но вместо них получали малварь.


Также Morphisec удалось выделить учетные данные, которые привели к полной компрометации неназванного поставщика инфраструктурных решений из Канады и ряда известных канадских сервисных компаний. Эксперты уже связались с пострадавшими и уведомили об случившемся власти.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Недавно появившийся инфостилер Mars еще только набирает популярность в хакерской среде, а аналитики уже отмечают первые масштабные кампании с его использованием. Mars представляет собой переработанную версию малвари Oski, разработка которой была прекращена в 2020 году. Вредонос обладает широкими возможностями в области кражи информации и атакует весьма широкий спектр приложений, включая популярные браузеры, плагины двухфакторной аутентификации, а также множество расширений и кошельков для работы с криптовалютами. Также Mars собирает и отправляет своим операторам следующую информацию о системе жертвы: IP-адрес и страна; путь к EXE-файлу; местное время и часовой пояс; язык системы; языковая раскладка клавиатуры; ноутбук или десктоп; модель процессора; имя компьютера; имя пользователя; имя компьютера в домене; идентификатор машины; GUID; установленные программы и их версии. Админка Mars До недавнего времени Mars, рекламируемый на многих хакерских форумах по цене от 140 до 160 долларов за пожизненную лицензию, рос довольно медленно, но, похоже, недавнее закрытие Raccoon Stealer вынудило хакеров искать альтернативы и обратить внимание на Mars. Дошло до того, что авторы вредоноса писали, что едва справляются с наплывом новых клиентов. Чаще всего эта малварь распространяется через спамерские письма, содержащие исполняемый файл в архиве, ссылку для скачивания или вредоносный документ. Однако порой Mars распространяется и через мошеннические сайты. Одну из таких кампаний, которых определенно становится больше после наплыва клиентов, обнаружили эксперты компании Morphisec. По их данным, малварь использует рекламу Google Ads, чтобы выводить сайты-клоны опенсорсного OpenOffice на верхние позиции в результатах поиска в Канаде. Установщик OpenOffice на таком фальшивом сайте представляет собой исполняемый файл Mars, упакованный с помощью криптора Babadeda или загрузчика Autoit. Интересно, что вскоре после релиза Mars появилась и взломанная версия малвари с инструкцией, в которой есть серьезные недостатки. В частности, она предписывает настроить полный доступ (777) ко всему проекту, включая каталог с логами жертв. Логи представляют собой файл ZIP, содержащий данные, украденные малварью у пользователей и загруженные на управляющий сервер. Неточность в инструкции привела к тому, что злоумышленники неправильно настраивают свою среду, открывая всему миру важную информацию. Исследователи выяснили, что в рамках упомянутой выше кампании украденная информация включала данные автозаполнения браузера, данные о расширении браузера, информацию о банковских картах, IP-адрес, код страны и часовой пояс. Поскольку следовавший инструкции оператор малвари заразил копией Mars и самого себя (по видимому, во время отладки), его личные данные тоже оказались раскрыты. Этот просчет позволил экспертам Morphisec связать атаки с русскоязычным пользователем, обнаружив его аккаунты на GitLab, украденные учетные данные, используемые для оплаты Google Ads, и многое другое. Команда Morphisec Labs сообщает, что в общей сложности ей удалось выявить более 50 зараженных пользователей доменов, скомпрометировавших доменные пароли своих компаний. Подавляющее большинство жертв — это студенты, преподаватели и создатели контента, которые искали легитимные приложения, но вместо них получали малварь. Также Morphisec удалось выделить учетные данные, которые привели к полной компрометации неназванного поставщика инфраструктурных решений из Канады и ряда известных канадских сервисных компаний. Эксперты уже связались с пострадавшими и уведомили об случившемся власти.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: