Малыш Mars Stealer крадет данные из криптокошельков и 2FA-плагинов

Татьяна Никитина 02 Февраля 2022 - 15:06

...

Малыш Mars Stealer крадет данные из криптокошельков и 2FA-плагинов

На русскоязычных хакерских форумах активно рекламируется Windows-троян, облегчающий кражу криптовалюты. Анализ образца Mars Stealer показал, что это усовершенствованная версия инфостилера Oski, свернувшего свои операции полтора года назад.

Последний появился в поле зрения ИБ-экспертов в конце 2019 года. Весной 2020-го Oski засветился в киберкампании, использующей взлом роутеров для перенаправления жертв на вредоносные сайты (путем подмены DNS). В июле того же года создатели зловреда перестали отвечать на запросы потенциальных покупателей и закрыли свой Telegram-канал, удалив аккаунт и бот.

Новобранец Mars Stealer, как и Oski, обладает функциями даунлоудера и снабжен кастомным грабером. Он умеет собирать информацию о зараженной системе, а также извлекать сохраненные данные из трех десятков браузеров, почтового клиента Thunderbird и 11 криптокошельков, не считая производные Bitcoin Core. Примечательно, что Outlook в списке целевых программ не значится, а у Oski он присутствовал.

От предшественника и других аналогов Mars Stealer отличают малые размеры (всего 95 Кбайт), а также повышенный интерес к браузерным плагинам для двухфакторной аутентификации (четыре 2FA-расширения и менеджер паролей Trezor) и работы с криптой (почти 40 наименований).

Собранную информацию вредонос отсылает на командный сервер, используя SSL-соединения. Строки кода Mars Stealer зашифрованы по RC4 и Base64, чтобы затруднить анализ. С той же целью троян использует функцию Sleep и проверяет наличие эмулятора Windows Defender. Защитить зловреда от обнаружения помогают техники сокрытия вызовов API и функция самоудаления (с помощью cmd.exe).

В тех случаях, когда временная характеристика вредоносного файла расходится с системным временем / датой больше чем на месяц, Mars Stealer завершает свой процесс. То же происходит, когда выясняется, что жертва по умолчанию использует язык страны бывшего СНГ (русский, белорусский, казахский, узбекский, азери).

В настоящее время преемника Oski детектирует подавляющее большинство антивирусов из коллекции VirusTotal (60 из 69 по состоянию на 2 февраля).

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Екатерина Быстрова 28 Января 2026 - 16:09

Linux Общее

В сообществе Linux впервые появился план на случай ухода Линуса Торвальдса

Сообщество разработчиков ядра Linux впервые официально оформило план на случай, если Линус Торвальдс вдруг решит уйти на пенсию или если что-то пойдёт не так. Сам Торвальдс возглавляет разработку ядра с 1991 года, и за это время стал не просто мейнтейнером, а настоящей константой проекта.

Не так давно он и сам заметил, что сообщество «становится возрастным», но при этом подчеркнул: с точки зрения экспертизы всё в порядке — новые люди приходят, и через несколько лет вырастают в ключевых разработчиков.

Тем не менее вопрос «а что если?» всё же решили закрыть документально. Новый план — это сценарий, который будет задействован только в том случае, если не получится провести спокойную и заранее подготовленную передачу полномочий.

Если такой момент всё-таки настанет, первым делом сообщество назначит организатора. Им станет либо последний организатор Maintainers Summit, либо действующий председатель Технического консультативного совета Linux Foundation (TAB). После этого у него будет 72 часа, чтобы запустить обсуждение с участниками последнего саммита мейнтейнеров.

Если же с последнего Maintainers Summit прошло больше 15 месяцев, список участников определит TAB — с правом привлекать других мейнтейнеров по своему усмотрению. Дальше всё довольно по-деловому: у этой группы есть две недели, чтобы прийти к решению и объявить его сообществу через почтовые рассылки.

По сути, это аккуратно оформленный способ сказать: «Мы знаем, как договориться, но на всякий случай записали процесс на бумаге».

Ирония в том, что даже без такого плана Linux вряд ли оказался бы в кризисе. Как не раз отмечал сам Торвальдс, проектов с мейнтейнерами, которые работают над кодом более 30 лет подряд, в open source практически не существует. Сообщество ядра давно научилось самоорганизации — просто до сих пор у него был нулевой так называемый bus factor.

Bus factor — это количество людей, которые могут «выпасть» из проекта (по любой причине), прежде чем он окажется в серьёзной опасности. У Linux этот показатель формально равнялся нулю: без Торвальдса всё держалось, но официального плана не существовало.

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »