Хакеры заблокировали операторов Mars Stealer с их собственных серверов
Стартап, занимающийся исследованиями в области безопасности и хакерскими атаками, утверждает, что обнаружил уязвимость в коде, которая позволяет блокировать операторов вредоносного ПО Mars Stealer с их собственных серверов и освобождать их жертв.
Mars Stealer крадет данные как вредоносный сервис, позволяя киберпреступникам арендовать доступ к инфраструктуре для проведения собственных атак. Само вредоносное ПО часто распространяется в виде вложений электронной почты, вредоносной рекламы и в комплекте с торрент-файлами на сайтах обмена файлами. После заражения вредоносное ПО крадет пароли и двухфакторные коды жертв из их расширений браузера, а также содержимое их криптовалютных кошельков. Вредоносное ПО также может использоваться для доставки других вредоносных полезных нагрузок, например программ-вымогателей.
Ранее в этом году в сеть просочилась взломанная копия вредоносного ПО Mars Stealer, что позволило любому создать свой собственный сервер управления и контроля Mars Stealer, но его документация содержала ошибки и побуждала потенциальных злоумышленников настраивать свои серверы таким образом, чтобы непреднамеренно раскрывает файлы журналов, содержащие украденные пользовательские данные на компьютере жертвы. В некоторых случаях оператор непреднамеренно заражался вредоносным ПО и раскрывал свои личные данные.
Mars Stealer набрал обороты в марте после того, как уничтожил Raccoon Stealer, еще одну популярную вредоносную программу для кражи данных. Это привело к увеличению числа новых кампаний Mars Stealer, в том числе к массовым нападениям на Украину в течение нескольких недель после российского вторжения и масштабным усилиям по заражению жертв вредоносной рекламой. В апреле исследователи безопасности заявили, что обнаружили более 40 серверов, на которых размещен Mars Stealer.
Теперь Buguard, стартап, занимающийся тестированием на проникновение, заявил, что уязвимость, обнаруженная в утечке вредоносного ПО, позволяет ему удаленно взламывать и «поражать» серверы управления и контроля Mars Stealer, которые используются для кражи данных с зараженных компьютеров жертвы. .
Юссеф Мохамед, главный технический директор компании, сообщил TechCrunch, что при эксплуатации уязвимости удаляются журналы с целевого сервера Mars Stealer, прекращаются все активные сеансы, которые разрывают связи с компьютерами жертв, а затем шифруется пароль панели управления. чтобы операторы не могли повторно подключиться.
Мохамед сказал, что это означает, что оператор теряет доступ ко всем своим украденным данным, и ему придется снова выявлять и повторно заражать своих жертв.
Активное нацеливание на серверы злоумышленников и киберпреступников, известное как «взлом», является неортодоксальным и горячо обсуждается как из-за его достоинств, так и из-за недостатков, и почему эта практика в Соединенных Штатах предназначена только для государственных учреждений. Общепринятый принцип добросовестного исследования безопасности заключается в том, чтобы смотреть, но не трогать ничего, найденное в Интернете, если это не ваше, а только документировать и сообщать об этом. Но в то время как распространенной тактикой является обращение к веб-узлам и регистраторам доменов с просьбой закрыть вредоносные домены, некоторые злоумышленники открывают свои магазины в странах и сетях, где они могут осуществлять свои злонамеренные операции в значительной степени с полной юридической безнаказанностью и не опасаясь судебного преследования.
Мохамед сказал, что его компания обнаружила и нейтрализовала пять серверов Mars Stealer, четыре из которых впоследствии отключились. Компания не публикует уязвимость, чтобы не предупреждать операторов, но заявила, что поделится подробностями об уязвимости с властями, чтобы помочь искоренить больше операторов Mars Stealer. По словам Мохамеда, уязвимость также существует в Erbium, другом вредоносном ПО для кражи данных с моделью вредоносного ПО как услуги, похожей на Mars Stealer.
Стартап, занимающийся исследованиями в области безопасности и хакерскими атаками, утверждает, что обнаружил уязвимость в коде, которая позволяет блокировать операторов вредоносного ПО Mars Stealer с их собственных серверов и освобождать их жертв.
Mars Stealer крадет данные как вредоносный сервис, позволяя киберпреступникам арендовать доступ к инфраструктуре для проведения собственных атак. Само вредоносное ПО часто распространяется в виде вложений электронной почты, вредоносной рекламы и в комплекте с торрент-файлами на сайтах обмена файлами. После заражения вредоносное ПО крадет пароли и двухфакторные коды жертв из их расширений браузера, а также содержимое их криптовалютных кошельков. Вредоносное ПО также может использоваться для доставки других вредоносных полезных нагрузок, например программ-вымогателей.
Ранее в этом году в сеть просочилась взломанная копия вредоносного ПО Mars Stealer, что позволило любому создать свой собственный сервер управления и контроля Mars Stealer, но его документация содержала ошибки и побуждала потенциальных злоумышленников настраивать свои серверы таким образом, чтобы непреднамеренно раскрывает файлы журналов, содержащие украденные пользовательские данные на компьютере жертвы. В некоторых случаях оператор непреднамеренно заражался вредоносным ПО и раскрывал свои личные данные.
Mars Stealer набрал обороты в марте после того, как уничтожил Raccoon Stealer, еще одну популярную вредоносную программу для кражи данных. Это привело к увеличению числа новых кампаний Mars Stealer, в том числе к массовым нападениям на Украину в течение нескольких недель после российского вторжения и масштабным усилиям по заражению жертв вредоносной рекламой. В апреле исследователи безопасности заявили, что обнаружили более 40 серверов, на которых размещен Mars Stealer.
Теперь Buguard, стартап, занимающийся тестированием на проникновение, заявил, что уязвимость, обнаруженная в утечке вредоносного ПО, позволяет ему удаленно взламывать и «поражать» серверы управления и контроля Mars Stealer, которые используются для кражи данных с зараженных компьютеров жертвы. .
Юссеф Мохамед, главный технический директор компании, сообщил TechCrunch, что при эксплуатации уязвимости удаляются журналы с целевого сервера Mars Stealer, прекращаются все активные сеансы, которые разрывают связи с компьютерами жертв, а затем шифруется пароль панели управления. чтобы операторы не могли повторно подключиться.
Мохамед сказал, что это означает, что оператор теряет доступ ко всем своим украденным данным, и ему придется снова выявлять и повторно заражать своих жертв.
Активное нацеливание на серверы злоумышленников и киберпреступников, известное как «взлом», является неортодоксальным и горячо обсуждается как из-за его достоинств, так и из-за недостатков, и почему эта практика в Соединенных Штатах предназначена только для государственных учреждений. Общепринятый принцип добросовестного исследования безопасности заключается в том, чтобы смотреть, но не трогать ничего, найденное в Интернете, если это не ваше, а только документировать и сообщать об этом. Но в то время как распространенной тактикой является обращение к веб-узлам и регистраторам доменов с просьбой закрыть вредоносные домены, некоторые злоумышленники открывают свои магазины в странах и сетях, где они могут осуществлять свои злонамеренные операции в значительной степени с полной юридической безнаказанностью и не опасаясь судебного преследования.
Мохамед сказал, что его компания обнаружила и нейтрализовала пять серверов Mars Stealer, четыре из которых впоследствии отключились. Компания не публикует уязвимость, чтобы не предупреждать операторов, но заявила, что поделится подробностями об уязвимости с властями, чтобы помочь искоренить больше операторов Mars Stealer. По словам Мохамеда, уязвимость также существует в Erbium, другом вредоносном ПО для кражи данных с моделью вредоносного ПО как услуги, похожей на Mars Stealer.
What's Your Reaction?
