Mars Stealer è un tool utilizzato per rubare credenziali e crypto-wallet, la cui popolarità è in crescita a seguito della cessazione di Raccoon Stealer. Infatti, Mars Stealer viene usato sempre più spesso come alternativa a Raccoon da parte dei criminali informatici per entrare in possesso di wallet di criptovalute attraverso il malware, che viene venduto a cifre abbordabili (tra 140 e 160 dollari statunitensi) tramite i forum di hacker.
Morphisec, azienda specializzata in soluzioni di sicurezza come antivirus e anti ransomware, ha individuato una campagna di Google Ads in Canada mirata a promuovere e portare ai primi risultati sul motore di ricerca un sito fasullo, da cui gli utenti avrebbero potuto scaricare una versione contraffatta di OpenOffice. Il sito di destinazione ricreava in modo convincente il sito ufficiale del pacchetto di produttività open source, qui, però, le vittime ignare avrebbero scaricato un eseguibile che nascondeva appunto Mars Stealer, contenente il crypter Babadeda o il loader Autoit.
Paradossalmente, a causa di un errore nelle istruzioni di configurazione contenute nella versione crackata di Mars Stealer, gli autori di questo tentativo di frode hanno lasciato aperta la directory "Logs" delle vittime, rendendola accessibile a chiunque. I log sono file zippati contenenti i dati rubati da un dato trojan di tipo stealer, che vengono poi caricati sui server di controllo degli autori dell'attacco. In questo caso, i dati trafugati da Mars Stealer erano composti da dati di compilazione e delle estensioni dei browser, carte di credito, indirizzi IP, codici nazionali e fusi orari.
In questo caso, poi, anche i sistemi degli operatori responsabili della violazione sono stati infettati da Mars Stealer durante il debug e dunque anche i loro dati sensibili sono stati esposti. Di conseguenza, i ricercatori di Morphisec sono riusciti a risalire all'autore dell'attacco, apparentemente di origine russa, e ai suoi account GitLab, le credenziali rubate per pagare gli annunci di Google Ads e molto altro. Leggete il report completo di Morphisec per maggiori informazioni.
Mars Stealer è una minaccia davvero notevole, promossa su oltre 47 forum, attraverso darknet onion e su vari canali Telegram, incluso uno "ufficiale" che ne promuove la vendita. I wallet più colpiti sono MetaMask, Coinbase Wallet, Binance Wallet e Math, tutti molto utilizzati e popolari. Diverse aziende canadesi sono cadute vittima dell'attacco perpetrato mediante la versione clonata di OpenOffice, tra cui un operatore sanitario. Dunque, occorre sempre fare attenzione ai siti da cui scaricare software e tool, assicurandosi sempre di scegliere i siti ufficiali, evitando il più possibile i risultati di Google Ads.