Détecter le logiciel malveillant de cryptojacking Mars Stealer

Le 30 mars 2022, l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a émis un avertissement concernant une propagation massive de logiciels malveillants nommés « Mars Stealer » visant des particuliers et des organisations en Ukraine. Selon la recherche de CERT-UA, les adversaires derrière les attaques Mars Stealer sont tracés jusqu’au groupe de hackers suivi sous le nom de UAC-0041 (associé à AgentTesla et XLoader).

Mars Stealer, comme un point d’entrée plutôt accessible pour le vol de données, a récemment été utilisé dans de nombreux pays à travers le monde, principalement au Canada, en Indonésie, au Brésil, en Europe et aux États-Unis, ciblant des particuliers et des entreprises. Les chercheurs indiquent que l’utilisation abusive de Google Ads et les emails de phishing sont les deux approches les plus répandues pour distribuer cet infostealer.

Analyse de Mars Stealer

Mars Stealer, un infostealer basé sur C/ASM, est un logiciel malveillant relativement bon marché disponible à l’achat sur les forums de hackers pour seulement 160 $ pour un abonnement à vie. Cette souche de logiciel malveillant a été créée sur la base de Oski Stealer, qui est apparu pour la première fois en 2019. Avec Mars Stealer, ainsi qu’avec son prédécesseur malveillant de 2019, il existe plusieurs méthodes de distribution. Les logiciels malveillants comme Mars Stealer sont le plus souvent distribués via des campagnes de malspam et des fraudes de social engineering sous la forme d’un exécutable compressé, d’un lien de téléchargement ou d’une charge utile de document dans un email de phishing. Une autre approche fréquente pour propager des infostealers est de créer un faux site Web, attirant les utilisateurs avec le vol consécutif de leurs données, comme la collecte d’informations sur le dispositif compromis, le vol de données et de fichiers de navigateur et d’authentification, les plug-ins de portefeuille crypto, les programmes d’authentification à plusieurs facteurs, et permettant aux adversaires de télécharger et d’exécuter des fichiers exécutables, ainsi que de prendre des captures d’écran non autorisées.

As CERT-UA a rapporté, Mars Stealer a été distribué via une campagne de spams par courrier électronique. Les victimes ont reçu des emails de spoofing contenant une archive leurre qui, si ouverte, exécutait un fichier exécutable malveillant et propageait l’infection sur les systèmes ciblés.

Contenu Sigma basé sur le comportement pour détecter les cyberattaques liées à Mars Stealer

Les praticiens de la sécurité peuvent détecter les souches potentielles de logiciels malveillants Mars Stealer dans l’infrastructure de l’organisation en utilisant un ensemble de règles de détection basées sur Sigma disponibles sur la plateforme SOC Prime :

Contenu de Détection pour les Logiciels Malveillants Mars Stealer

Veuillez noter que le contenu de détection est accessible uniquement aux utilisateurs enregistrés de la plateforme Detection as Code de SOC Prime.

Contexte MITRE ATT&CK®

Pour votre commodité, le contenu Sigma dédié pour détecter l’activité malveillante associée à Mars Stealer est mappé à la dernière version du cadre MITRE ATT&CK abordant les tactiques et techniques correspondantes :