Detectar el malware de criptojacking Mars Stealer

El 30 de marzo de 2022, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) emitió una advertencia sobre una propagación masiva de malware llamado “Mars Stealer” dirigida a individuos y organizaciones en Ucrania. Según la investigación de CERT-UA, los adversarios detrás de los ataques de Mars Stealer se remontan al grupo de hackers rastreados como UAC-0041 (asociado con AgentTesla y XLoader).

Mars Stealer, como un punto de entrada bastante accesible para el robo de datos, ha sido utilizado recientemente en muchos países de todo el mundo, principalmente en Canadá, Indonesia, Brasil, Europa y EE.UU., atacando a individuos y empresas. Los investigadores indican que el uso indebido de Google Ads y los correos electrónicos de phishing son los dos enfoques más extendidos para distribuir este infostealer.

Análisis de Mars Stealer

Mars Stealer, un infostealer basado en C/ASM, es un malware relativamente económico disponible para su compra en foros de hackers por solo $160 por una suscripción de por vida. Esta cepa de malware fue creada sobre la base de Oski Stealer, que apareció por primera vez en 2019. Con Mars Stealer, así como con su predecesor malicioso de 2019, existen múltiples métodos de entrega. El malware como Mars Stealer se distribuye más comúnmente a través de campañas de malspam y fraudes de ingeniería social como un ejecutable comprimido, enlace de descarga o carga de documento en un correo electrónico de phishing. Otro enfoque frecuente para propagar infostealers es mediante la creación de un sitio web falso, atrayendo a los usuarios con el consecuente robo de sus datos, como la recopilación de información sobre el dispositivo comprometido, robo de datos y archivos de autenticación y del navegador, complementos de billeteras criptográficas, programas de autenticación de múltiples factores, y permitiendo a los adversarios descargar y ejecutar archivos ejecutables, así como tomar capturas de pantalla no autorizadas.

As CERT-UA informó, que Mars Stealer se distribuyó a través de una campaña de correo electrónico spam. Las víctimas recibieron correos electrónicos falsificados que contenían un archivo de señuelo que, si se abría, ejecutaba un archivo ejecutable malicioso que propagaba la infección en los sistemas objetivo.

Contenido Basado en Comportamiento Sigma para Detectar Ciberataques de Malware Mars Stealer

Los profesionales de la seguridad pueden detectar las posibles cepas de malware Mars Stealer en la infraestructura de la organización utilizando un conjunto de reglas de detección basadas en Sigma disponibles en la Plataforma SOC Prime:

Contenido de Detección para Malware Mars Stealer

Tenga en cuenta que el contenido de detección es accesible solo para los usuarios registrados de la plataforma Detection as Code de SOC Prime.

Contexto MITRE ATT&CK®

Para su conveniencia, el contenido dedicado basado en Sigma para detectar la actividad maliciosa asociada con Mars Stealer está mapeado a la última versión del marco MITRE ATT&CK que aborda las tácticas y técnicas correspondientes: