ظهور بدافزاری جدید و قدرتمند به نام سارق مریخ!

به گزارش کارگروه حملات سایبری سایبربان؛ یک بدافزار جدید و قدرتمند به نام Mars Stealer (سارق مریخ) در حملات ظاهر شده است. ظاهرا این بدافزار، نسخه بازطراحی شده بدافزار Oski (اوسکی) می باشد که در تابستان 2020 به یکباره غیر فعال شد.

سارق مریخ یک بدافزار سارق اطلاعات است که داده های تمامی مرورگرهای وب محبوب، پلاگین های احراز هویت دو عاملی و همچنین چندین افزونه ارز دیجیتال و کیف پول مجازی را به سرقت می برد. 

این بدافزار همچنین می تواند با اتکا بر لود کننده و وایپر خود، فایل های موجود در سیستم آلوده را به صورت غیر مجاز انتقال دهد. این موضوع تا حد زیادی ردپای آلودگی را از بین می برد. 

عاملین تروجان سارق اطلاعات اوسکی در جولای 2020 به یکباره فعالیت های خود را متوقف و کانال تلگرام خود را حذف کردند. 

تقریبا یک سال پس از این موضوع یک بدافزار سارق اطلاعات جدید به نام سارق مریخ در فروم های هکری روس زبان شروع به فعالیت کرد. 

محققین دریافتند که سارق مریخ نسخه باز طراحی شده و ارتقاء یافته تر بدافزار اوسکی است.

سارق مریخ با استفاده از یک گیرنده مخصوص، پیکربندی خود را از سرور کنترل و فرمان بازیابی می کند و اپلیکیشن های زیر را مورد هدف قرار می دهد:

اپلیکیشن های اینترنتی

Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird

اپلیکیشن های احراز هویت دو عاملی

Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager

افزونه های ارز دیجیتال

TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, Neoline, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.

کیف پول های رمز ارز

Bitcoin Core and all derivatives (Dogecoin, Zcash, DashCore, LiteCoin, etc), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi

سارق مریخ اطلاعات زیر را نیز به سرور کنترل و فرمان ارسال می کند:

• آی پی و کشور
• مسیر فایل اکسل
• زمان محلی
• زبان سیستم
• نوت بوک یا دسکتاپ
• مدل پردازنده
• نام کامپیوتر
• نام کاربری
• نام دامین کامپیوتر
• آی دی دستگاه
• نرم افزارهای نصب شده و نسخه های آن ها

سارق مریخ یک بدافزار سبک 95 کیلوبایتی است که با استفاده از ترکیب RC4 و Base64 و برخی تکنیک ها لایه های امنیتی را دور می زند.

این بدافزار می تواند پس از انتقال غیر مجاز داده کاربران، خود را از سیستم حذف کند! بدافزار نام برده در صورت ارتباط دستگاه با کشورهای روسیه، بلاروس، قزاقستان، آذربایجان و ازبکستان هیچ گونه رفتار مخربی را از خود بروز نخواهد داد. 

سارق مریخ به قیمت 140 تا 160 دلار در فروم های هکری به فروش می رسد.