Rilevare il malware Mars Stealer Cryptojacking

Il 30 marzo 2022, il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha emesso un avvertimento di una diffusione massiccia di malware chiamato “Mars Stealer” che prende di mira individui e organizzazioni in Ucraina. Secondo la ricerca CERT-UA, gli avversari dietro gli attacchi Mars Stealer sono stati ricondotti al gruppo di hacker tracciato come UAC-0041 (associato a AgentTesla e XLoader).

Mars Stealer, come un punto di accesso piuttosto accessibile per il furto di dati, è stato recentemente sfruttato in molti paesi in tutto il mondo, principalmente in Canada, Indonesia, Brasile, Europa e Stati Uniti, prendendo di mira individui e aziende. I ricercatori indicano che l’abuso di Google Ads e le email di phishing sono i due approcci più diffusi per distribuire questo infostealer.

Analisi di Mars Stealer

Mars Stealer, un infostealer basato su C/ASM, è un malware relativamente a basso costo disponibile per l’acquisto nei forum di hacking solo per $160 per un abbonamento a vita. Questa variante di malware è stata creata sulla base di Oski Stealer, apparso per la prima volta nel 2019. Con Mars Stealer, così come con il suo predecessore maligno del 2019, ci sono diversi metodi di consegna. Malware come Mars Stealer viene comunemente distribuito tramite campagne di malspam e frodi di social engineering come un eseguibile compresso, link per il download o payload di documenti in un’email di phishing. Un altro approccio frequente per propagare infostealer è creando un sito web falso, attirando gli utenti con il conseguente furto dei loro dati, come la raccolta di informazioni sul dispositivo compromesso, il furto di dati e file di autenticazione del browser, i plug-in di portafogli cripto, i programmi di autenticazione a più fattori e consentendo agli avversari di scaricare ed eseguire file eseguibili, nonché di scattare screenshot non autorizzati.

As CERT-UA ha riportato, Mars Stealer è stato distribuito tramite una campagna di email di spam. Le vittime hanno ricevuto email di spoofing contenenti un archivio-esca che, se aperto, eseguiva un file eseguibile dannoso che diffondeva l’infezione sui sistemi target.

Contenuto Comportamentale Sigma per Rilevare Attacchi Malware di Mars Stealer

I professionisti della sicurezza possono rilevare le potenziali varianti di malware Mars Stealer nell’infrastruttura dell’organizzazione usando un insieme di regole di rilevamento basate su Sigma disponibili nella SOC Prime Platform:

Contenuto di Rilevamento per Malware Mars Stealer

Si prega di notare che il contenuto di rilevamento è accessibile solo agli utenti registrati della piattaforma Detection as Code di SOC Prime.

Contesto MITRE ATT&CK®

Per vostra comodità, il contenuto dedicato basato su Sigma per rilevare l’attività dannosa associata a Mars Stealer è mappato all’ultima versione del MITRE ATT&CK framework che affronta le corrispondenti tattiche e tecniche: