セキュリティ研究とハッキングの新興企業が、Mars Stealer マルウェアのオペレーターを自社のサーバーから締め出し、被害者を解放できるコーディング上の欠陥を発見したと述べています。
Mars Stealer は、サービスとしてのデータを盗むマルウェアであり、サイバー犯罪者がインフラストラクチャへのアクセスを借りて、独自の攻撃を開始できるようにします。 マルウェア自体は、多くの場合、電子メールの添付ファイルや悪意のある広告として配布され、ファイル共有サイトでトレント ファイルにバンドルされます。 感染すると、マルウェアは被害者のパスワードと 2 要素コードをブラウザー拡張機能から盗み、さらにその内容を盗みます。 彼らの暗号通貨ウォレット. このマルウェアは、ランサムウェアなど、他の悪意のあるペイロードを配信するためにも使用できます。
今年の初め、Mars Stealer マルウェアのクラックされたコピーがオンラインで流出し、誰でも独自の Mars Stealer コマンド アンド コントロール サーバーを構築できるようになりましたが、そのドキュメントは 欠陥があった、および被害者のコンピューターから盗まれたユーザーデータが詰め込まれたログファイルを不注意に公開する方法でサーバーを構成するように、悪意のある人物を誘導しました。 場合によっては、オペレーターが不注意でマルウェアに感染し、自分の個人データを公開してしまうこともあります。
Mars Stealer は、別の人気のあるデータ盗用マルウェアである Raccoon Stealer を削除した後、3 月に注目を集めました。 これにより、新しい Mars Stealer キャンペーンが増加しました。 ウクライナの大量標的 ロシアの侵略に続く数週間で、被害者を感染させる大規模な取り組みが行われました。 悪意のある広告. 4 月までに、セキュリティ研究者は、 40 以上のサーバー Mars Stealer をホストしています。
現在、侵入テストの新興企業である Buguard は、漏洩したマルウェアで発見された脆弱性により、被害者の感染したコンピューターからデータを盗むために使用される Mars Stealer のコマンド アンド コントロール サーバーをリモートで侵入して「打ち負かす」ことができると述べています。
同社の最高技術責任者である Youssef Mohamed は TechCrunch に、この脆弱性が悪用されると、標的の Mars Stealer サーバーからログを削除し、被害者のコンピューターとの関係を切断するすべてのアクティブなセッションを終了し、ダッシュボードのパスワードをスクランブルして、オペレーターは再度ログインできません。
Mohamed 氏によると、これはオペレーターが盗んだすべてのデータにアクセスできなくなり、被害者を標的にして再感染させる必要があるということです。
「ハッキングバック」として知られる、悪意のある人物やサイバー犯罪者のサーバーを積極的に標的にすることは正統ではなく、その長所と短所の両方、および米国での慣行が政府機関のみに限定されている理由について激しく議論されています。 誠実なセキュリティ リサーチで一般的に受け入れられている原則は、オンラインで見つけたものを見て、それが自分のものでない場合は触らないことです。 文書化して報告するだけです。 一般的な戦術は、Web ホストやドメイン レジストラに悪意のあるドメインをシャットダウンするよう要求することですが、一部の悪意のある攻撃者は、法的な免責と訴追の恐れなくマルウェア操作を大部分実行できる国やネットワークに店を構えています。
Mohamed 氏によると、彼の会社はこれまでに 5 台の Mars Stealer サーバーを発見して無力化し、そのうち 4 台はその後オフラインになりました。 同社はオペレーターに情報を漏らさないように脆弱性を公開していませんが、より多くのマーズ スティーラー オペレーターを倒すことを目的として、欠陥の詳細を当局と共有すると述べています。 この脆弱性は、Mars Stealer と同様のサービスとしてのマルウェア モデルを持つ別のデータ窃盗マルウェア Erbium にも存在すると Mohamed 氏は述べています。