Ein Sicherheitsforschungs- und Hacking-Startup sagt, es habe einen Codierungsfehler gefunden, der es ihm ermöglicht, Betreiber der Mars Stealer-Malware von ihren eigenen Servern auszusperren und ihre Opfer freizulassen.
Mars Stealer ist Datendiebstahl von Malware als Service, der es Cyberkriminellen ermöglicht, Zugang zur Infrastruktur zu mieten, um ihre eigenen Angriffe zu starten. Die Malware selbst wird oft als E-Mail-Anhänge, bösartige Werbung und gebündelt mit Torrent-Dateien auf Filesharing-Sites verbreitet. Einmal infiziert, stiehlt die Malware die Passwörter und Zwei-Faktor-Codes eines Opfers aus seinen Browsererweiterungen sowie den Inhalt von ihre Kryptowährungs-Wallets. Die Malware kann auch verwendet werden, um andere bösartige Payloads wie Ransomware zu liefern.
Anfang dieses Jahres ist eine gecrackte Kopie der Mars-Stealer-Malware online durchgesickert, die es jedem ermöglicht, seinen eigenen Mars-Stealer-Befehls- und Kontrollserver zu bauen, aber dessen Dokumentation war fehlerhaft, und leitete potenzielle Angreifer dazu an, ihre Server so zu konfigurieren, dass versehentlich die Protokolldateien offengelegt würden, die mit Benutzerdaten gefüllt sind, die von den Computern der Opfer gestohlen wurden. In einigen Fällen würde sich der Betreiber versehentlich mit Malware infizieren und seine eigenen privaten Daten preisgeben.
Mars Stealer gewann im März nach der Abschaltung von Raccoon Stealer, einer weiteren beliebten Datendiebstahl-Malware, an Bedeutung. Dies führte zu einem Anstieg der neuen Mars Stealer-Kampagnen, einschließlich der Massenangriffe auf die Ukraine in den Wochen nach Russlands Invasion und einem großangelegten Versuch, die Opfer zu infizieren bösartige Werbung. Bis April gaben Sicherheitsforscher an, sie gefunden zu haben mehr als 40 Server Hosting von Mars Stealer.
Jetzt sagte Buguard, ein Penetrationstest-Startup, dass die Schwachstelle, die es in der durchgesickerten Malware entdeckt hat, es ihm ermöglicht, aus der Ferne einzubrechen und Mars Stealer-Befehls- und Kontrollserver zu „besiegen“, die verwendet werden, um Daten von den infizierten Computern des Opfers zu stehlen.
Youssef Mohamed, Chief Technology Officer des Unternehmens, sagte gegenüber Tech, dass die Schwachstelle, sobald sie ausgenutzt wird, die Protokolle vom angegriffenen Mars Stealer-Server löscht, alle aktiven Sitzungen beendet, die die Verbindung zu den Computern der Opfer unterbrechen, und dann das Passwort des Dashboards verschlüsselt, so dass die Bediener können sich nicht wieder anmelden.
Mohamed sagte, dies bedeute, dass der Betreiber den Zugriff auf alle seine gestohlenen Daten verliere und seine Opfer erneut anvisieren und neu infizieren müsste.
Aktiv auf die Server von schlechten Schauspielern und Cyberkriminellen abzuzielen, bekannt als „Hacking Back“, ist unorthodox und wird sowohl wegen seiner Vorzüge als auch wegen seiner Nachteile heiß diskutiert und warum diese Praxis in den USA ausschließlich Regierungsbehörden vorbehalten ist. Ein allgemein akzeptiertes Prinzip in der Sicherheitsforschung nach Treu und Glauben ist, online gefundene Inhalte anzusehen, aber nicht anzufassen, wenn sie Ihnen nicht gehören. nur dokumentieren und berichten. Aber während eine gängige Taktik darin besteht, Webhoster und Domain-Registrare aufzufordern, bösartige Domains zu schließen, lassen sich einige schlechte Akteure in Ländern und Netzwerken nieder, in denen sie ihre Malware-Operationen weitgehend ungestraft und ohne Angst vor Strafverfolgung betreiben können.
Mohamed sagte, sein Unternehmen habe bisher fünf Mars Stealer-Server entdeckt und neutralisiert, von denen vier anschließend offline gingen. Das Unternehmen veröffentlicht die Schwachstelle nicht, um die Betreiber nicht zu warnen, sagte jedoch, es werde Einzelheiten des Fehlers mit den Behörden teilen, um dabei zu helfen, mehr Mars Stealer-Betreiber auszuschalten. Die Schwachstelle existiert auch in Erbium, einer anderen datenstehlenden Malware mit einem ähnlichen Malware-as-a-Service-Modell wie Mars Stealer, sagte Mohamed.