研究人员揭露了Mars Stealer利用谷歌广告传播恶意软件的活动

在利用破解版本的恶意软件窃取网络浏览器和加密货币钱包中存储的信息的活动中，观察到一个名为Mars的新生信息窃取者。

Morphisec恶意软件研究人员阿诺德·奥西波夫在周二发布的一份报告中说：“火星盗贼是通过社会工程技术、恶意垃圾邮件活动、恶意软件破解和密钥源传播的”。

基于OSKI窃听器，2021年6月首次发现，MARS StualER据说是不断发展和可出售的超过47个地下论坛，暗黑网站和电报频道，只花费160美元终身订阅。

信息窃取者允许对手从受损系统中提取个人信息，包括存储的凭证和浏览器cookie，然后在犯罪市场上出售或用作发动进一步攻击的跳板。

去年发布的Mars Stealer还伴随着攻击活动的稳步增加，其中一些攻击活动涉及使用破解版本的恶意软件，该恶意软件的配置方式已使其暴露了互联网上的关键资产，无意中泄露了有关威胁参与者基础设施的详细信息。

同样值得注意的是上个月观察到的一场运动，该运动窃取了下载了合法应用程序的特洛伊木马版本的学生、教员和内容制作者的密码。

除此之外，这家网络安全公司还指出，它“确定了导致加拿大一家领先的医疗基础设施提供商和多家知名加拿大服务公司全面妥协的资质”

虽然Mars Stealer最常见的传播方式是通过包含压缩可执行文件、下载链接或文档有效载荷的垃圾邮件，但它也通过欺诈性克隆网站传播，这些网站宣传知名软件，如OpenOffice，然后通过谷歌广告推送。

目标是利用地理定位广告诱骗搜索原始软件的潜在受害者访问恶意网站，最终导致恶意软件的部署。

Mars Stealer则负责收集和过滤浏览器自动填充数据、信用卡信息、浏览器扩展细节，包括Metamask、Coinbase钱包和Binance钱包等加密货币钱包的细节，以及系统元数据。

但是，由于在调试过程中，威胁参与者与火星窃贼泄露了他们自己的机器，OPSEC的错误使研究人员得以将此次活动归因于一位讲俄语的人，并揭露了对手使用GitLab和窃取的凭证放置谷歌广告的细节。

奥西波夫说：“信息窃取者为犯罪活动提供了一个可访问的入口点。”他补充说，这些工具“使网络犯罪新手能够建立声誉，他们可以利用这些声誉从更复杂的参与者那里获取更强大的恶意软件。”