• Українська
  • Русский

Масове розповсюдження шкідливої програми MarsStealer серед громадян України та вітчизняних організацій (CERT-UA#4315)

Загальна інформація

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA отримано інформацію щодо масового розповсюдження електронних листів з темою “Нова програма для запису в журналi.” серед громадян України та вітчизняних організацій. Текст електронного листа містить повідомлення, начебто, від Міністерства освіти та науки України щодо “електронних навчальних журналів”, а також посилання на “програму” та пароль на архів.

У разі відкриття архіву та запуску EXE-файлу, комп’ютер буде уражено шкідливою програмою, яку, за сукупністю ознак (незважачи на деякі відмінності), класифіковано як MarsStealer.

MarsStelaer – шкідлива програма-стілер, розроблена з використанням мов програмування C/ASM. Основний функціонал – збір інформації про комп’ютер, викрадення аутентифікаційних даних з Інтернет-браузерів, плагінів крипто-гаманців, програм багатофакторної аутентифікації, викрадення файлів, а також завантаження і запуск виконуваних файлів і виготовлення знімку екрану.

Шкідлива програма продається на тематичних форумах. Вірогідно, після призупинки продажів стілера Racoon, використовуватиметься як альтернатива. Зауважимо, що заявлений функціонал, який передбачає уникнення випадків застосування стілера у відношенні “країн СНД”, відключено шляхом патчингу викликів відповідних функцій.

Виявлена активність відстежується за ідентифікатором UAC-0041 як діяльність однієї з груп, що мають на меті викрадення автентифікацйних даних користувачів.

Індикатори компрометації

Файли:

50dc32d384eddc6142d98dba4b383952    e9022b65a0f367bebb6862dd17f084a662d7adb50076c1c364df0e074888656c    v_2.2.9.rar
eac2f01715ff167bf3e155fad36e5b0d    f67ff70f862cdcb001763c69e88434d335b185a216e2944698f20807df28bdf2    v_2.2.9.exe (MarsStealer)
67dde33620bb01c74f9189f5e03d6528    e65231f304e78ce51dc77728f883c41465b9c8a5457cc2b22fc362f48521017a    v_5.1.9.zip
b5129b33d2181343b31bd64ec340a599    afa0662aa8eac0e607a9ffc85aa0bdfc570198dcb82dccdb40d0a459e12769dc    v_5.1.9.exe (MarsStealer)

Мережеві:

hXXps://drive.google[.]com/uc?export=download&confirm=no_antivirus&id=1XuVgWWXE8yeYKp6s1MnSA5M8wAx0AJih
hXXps://api.dev-com[.]sc/files_1/v_5.1.9.exe
hXXps://api.dev-com[.]sc/files_1/v_5.1.9.zip
hXXp://176[.]57.189.191/gate[.]php
hXXp://176[.]57.189.191/mozglue[.]dll
hXXp://176[.]57.189.191/vcruntime140[.]dll
hXXp://176[.]57.189.191/nss3[.]dll
hXXp://176[.]57.189.191/msvcp140[.]dll
hXXp://176[.]57.189.191/freebl3[.]dll
hXXp://176[.]57.189.191/sqlite3[.]dll
hXXp://176[.]57.189.191/softokn3[.]dll
api.dev-com[.]sc
dev-com[.]sc (2022-03-24)
176[.]57.189.191
95[.]111.231.126

Хостові:

C:\ProgramData\sqlite3.dll
C:\ProgramData\freebl3.dll
C:\ProgramData\mozglue.dll
C:\ProgramData\msvcp140.dll
C:\ProgramData\nss3.dll
C:\ProgramData\softokn3.dll
C:\ProgramData\vcruntime140.dll

Графічні зображення

intense_post_subtitle:
intense_post_single_template:
intense_featured_gallery:
intense_featured_image_type:
standard
intense_image_shadow:
null
intense_hover_effect_type:
null
intense_hover_effect:
0
intense_featured_audio_url:
intense_featured_video_type:
intense_featured_color:
Tagged under

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *