一种名为 Mars Stealer 的新推出的信息窃取恶意软件变种越来越受欢迎，威胁分析师现在发现了第一个使用它的大型活动。

Mars Stealer 是对 2020 年停止开发的 Oski 恶意软件的重新设计，具有针对广泛应用程序的广泛信息窃取功能。

在黑客论坛上以 140 至 160 美元的可承受价格进行推广，Mars Stealer 增长缓慢，直到最近Raccoon Stealer 突然关闭，迫使网络犯罪分子寻求替代方案。

一种名为 Mars Stealer 的新推出的信息窃取恶意软件变种越来越受欢迎，威胁分析师现在发现了第一个使用它的大型活动。

Mars Stealer 是对 2020 年停止开发的 Oski 恶意软件的重新设计，具有针对广泛应用程序的广泛信息窃取功能。

在黑客论坛上以 140 至 160 美元的可承受价格进行推广，Mars Stealer 增长缓慢，直到最近Raccoon Stealer 突然关闭，迫使网络犯罪分子寻求替代方案。

Mars Stealer 开发人员被新的请求所淹没
Morphisec 的威胁分析师报告称，他们发现了其中的几个新活动，其中一个使用了恶意软件的破解版本，该恶意软件在传播时附有有关如何使用它的说明。

OpenOffice 活动，奥地利服务器租用
Morphisec 发现的一项新的 Mars Stealer 活动正在使用 Google Ads 广告在加拿大搜索结果中将克隆的 OpenOffice 网站排名靠前。

使用恶意广告毒化 Google 搜索结果 (Morphisec)
OpenOffice 是一个曾经流行的开源办公套件，现在属于 Apache 基金会，并已被 LibreOffice 超越，后者于 2010 年开始作为其分支。

然而，OpenOffice 仍然从寻求免费文档和电子表格编辑器的人那里获得可观的每日下载量。可能，威胁参与者没有克隆更受欢迎的 LibreOffice，因为由于大量报告，这将导致快速删除。

恶意网站与真实网站的比较 （Morphisec）
假冒网站上的 OpenOffice 安装程序实际上是一个 Mars Stealer 可执行文件，其中包含 Babadeda 加密程序或 Autoit 加载程序，因此受害者在不知不觉中感染了自己。

由于破解版的配置说明错误，运营商已经暴露了受害者的“日志”目录，任何访问者都可以完全访问。

日志是一个 zip 文件，其中包含被信息窃取木马窃取并上传到威胁参与者的命令和控制服务器的数据。

存储被盗数据（日志）的目录- Morphisec

在这次活动中，由 Mars Stealer 产生的被盗信息似乎包含浏览器自动填充数据、浏览器扩展数据、信用卡、IP 地址、国家代码和时区。

由于攻击者在调试过程中感染了他们的 Mars Stealer 副本，因此他们的敏感信息也被暴露了。

这个错误使研究人员能够将攻击归因于讲俄语的人，并发现威胁者的 GitLab 帐户、用于支付 Google Ads 的被盗凭据等等。

对加密资产的威胁
Mars Stealer 是一个不断上升的威胁，在超过 47 个暗网站点和黑客论坛、Telegram 频道以及像破解包这样的“非官方”分发途径中得到推广。

Morphisec 表示，这些信息窃取者的运营商非常关注加密货币资产。

来自单个活动运营商 (Morphisec)的被盗日志概览
分析活动中被盗最多的浏览器插件是 MetaMask，其次是 Coinbase Wallet、Binance Wallet 和 Math 钱包，这些都是用于管理加密货币资产的“热”钱包。

Morphisec 还确定了属于加拿大一家医疗基础设施提供商的凭证，并看到了几家加拿大知名服务公司的妥协迹象。

为了防止信息窃取，请确保您点击官方网站而不是 Google 广告结果，并始终在启动前扫描您的 AV 上下载的可执行文件。

对于那些希望深入了解新 Mars Stealer 恶意软件的技术人员，您可以阅读 3xp0rt对新恶意软件变种的分析。