# Mars Stealer > [!high] Infostealer de Criptomoedas - Sucessor do Oski Stealer > Mars Stealer é um infostealer anunciado em junho de 2021 nos fóruns underground russos como evolução direta do **Oski Stealer** (encerrado em 2020). Especializado em roubo de carteiras de criptomoedas, extensões 2FA e credenciais de navegadores, usa **ofuscação RC4** e **injeção em processos** para evadir detecção. Vendido por ~$160 em fóruns como exploit[.]in. ## Visão Geral Mars Stealer emergiu em junho de 2021 como o sucessor natural do [[oski-stealer]], que havia encerrado operações em julho de 2020. O ator por trás do Mars Stealer reaproveitou parte significativa do código do Oski, adicionando suporte ampliado a carteiras de criptomoedas e melhorias na evasão de antivírus. A ferramenta foi listada em fóruns underground russos por aproximadamente $160, posicionando-se como alternativa acessível ao [[raccoon-stealer]] e [[redline-stealer]]. O malware demonstra foco exclusivo em ativos digitais de alto valor: suporta roubo de mais de 50 extensões de carteira de criptomoedas (MetaMask, Coinbase Wallet, Binance Chain), além de extensões 2FA como Google Authenticator. Esta especialização reflete o crescimento explosivo do mercado cripto como alvo prioritário para grupos de crimes financeiros, especialmente em 2021-2022 quando os preços atingiram recordes históricos. Mars Stealer possui mecanismo anti-análise que verifica o idioma do sistema, evitando execução em países da CEI (Comunidade de Estados Independentes), incluindo Rússia, Bielorrússia, Azerbaijão e Cazaquistão. Esse padrão comportamental é consistente com desenvolvedores de malware russos que operam sob proteção implícita ao não atacar compatriotas. Para o Brasil, o impacto do Mars Stealer é direto: o mercado cripto brasileiro é um dos maiores da América Latina, com milhões de usuários ativos. A combinação de roubo de carteiras cripto com captura de credenciais bancárias - incluindo plataformas que integram [[financial|serviços financeiros]] - cria risco financeiro severo. O malware foi observado sendo distribuído via sites falsos de software e campanhas de phishing direcionadas a investidores. ## Como Funciona **Vetor de entrada:** 1. Distribuição via sites falsos ou sequestrados hospedando instaladores de software legítimo (cracked software, ferramentas piratas) 2. Campanhas de phishing com anexos maliciosos compactados (ZIP/RAR com executável) 3. Canais Telegram com links para "software gratuito" contendo o stealer embutido **Execução e evasão:** 1. O executável inicial verifica o idioma do sistema - se CEI, encerra sem executar 2. Injeção em processo legítimo (`explorer.exe` ou `cmd.exe`) via process hollowing para ocultar atividade 3. Strings ofuscadas com RC4 para dificultar análise estática por antivírus 4. Download de DLLs auxiliares do servidor C2 (sqlite3.dll, nss3.dll, softokn3.dll) para funcionalidades adicionais **Coleta de dados:** - Credenciais salvas em navegadores baseados em Chromium e Firefox (via SQLite decriptado) - Extensões de carteira cripto: MetaMask, Coinbase, Binance, TrustWallet, Exodus, Electrum - Extensões 2FA: Google Authenticator, Authy, Microsoft Authenticator - Arquivos de carteira: `wallet.dat`, `*.wallet` - Cookies de sessão (para bypass de 2FA em plataformas web) - Capturas de tela do desktop no momento da execução - Informações do sistema: hostname, IP, hardware, SO instalado **Exfiltração:** - Compacta os dados coletados em arquivo ZIP temporário em `%TEMP%` - Envia via HTTP POST para o painel de controle do atacante - Dados transmitidos com criptografia RC4 - Arquivo local deletado após exfiltração ## Attack Flow ```mermaid graph TB A["Engenharia Social<br/>Software pirata<br/>ou phishing"] --> B["Execução<br/>Verificação anti-CEI<br/>Idioma do sistema"] B --> C["Injecao de Processo<br/>Process hollowing<br/>em explorer.exe"] C --> D["Download DLLs<br/>SQLite, NSS3<br/>do servidor C2"] D --> E["Coleta de Dados<br/>Senhas, carteiras<br/>cripto, extensoes 2FA"] E --> F["Captura de Tela<br/>Desktop no<br/>momento da coleta"] F --> G["Exfiltração RC4<br/>HTTP POST<br/>para painel C2"] G --> H["Monetização<br/>Cripto drenado<br/>Credenciais vendidas"] ``` **Legenda:** [[raccoon-stealer]] · [[redline-stealer]] · [[oski-stealer]] · [[t1555-003-credentials-from-web-browsers|T1555.003]] · [[t1041-exfiltration-over-c2|T1041]] ## Timeline ```mermaid timeline title Mars Stealer - Linha do Tempo 2020-07 : Oski Stealer encerrado : Desenvolvedor desaparece : Vácuo no mercado underground 2021-06 : Mars Stealer anunciado : Forum exploit.in : Preco $140-160 2021-10 : Campanha inicial documentada : Alvos europeus : Foco em cripto wallets 2022 : Expansao global : 40+ variantes detectadas : Distribuição via sites falsos 2022-03 : Análise Morphisec publicada : RC4 ofuscacao documentada : Painel de controle exposto 2023 : Novos desenvolvedores : Fork com recursos extras : Ainda ativo no underground ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Credentials from Web Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de senhas salvas em Chrome, Firefox, Edge | | Password Managers | [[t1555-005-password-managers\|T1555.005]] | Acesso a extensões de carteira cripto como gerenciadores de senha | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de senhas digitadas em tempo real | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Strings RC4 para evasão de análise estática | | Process Hollowing | [[t1055-012-process-hollowing\|T1055.012]] | Injeção em explorer.exe para ocultar execução | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de DLLs auxiliares do C2 | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2\|T1041]] | Envio de dados via HTTP POST com RC4 | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de hostname, IP, hardware | ## Relevância para o Brasil e LATAM > [!latam] Mercado Cripto Brasileiro como Alvo Prioritário > O Brasil tem o maior mercado de criptomoedas da América Latina. O Mars Stealer foi distribuído via sites brasileiros de software pirata e grupos **Telegram** com iscas de "renda extra" e "sinais de cripto". Campanhas usaram temas de **Imposto de Renda** e **Nota Fiscal Eletrônica** como isca para usuários brasileiros. O Brasil representa um alvo de alto valor para o Mars Stealer por múltiplos vetores: **Mercado cripto LATAM:** - Brasil tem o maior mercado de criptomoedas da América Latina, com mais de 10 milhões de usuários estimados em 2022-2023 - Popularidade de MetaMask e extensões web3 entre investidores brasileiros cria superfície de ataque ideal para roubo de carteiras - O [[financial|setor financeiro]] brasileiro, incluindo corretoras cripto (Mercado Bitcoin, Foxbit) e plataformas de investimento, é alvo quando credenciais bancárias são capturadas junto com dados cripto **Distribuição no Brasil:** - Sites brasileiros de download de software pirata foram usados como vetor de distribuição do malware - Grupos Telegram brasileiros de "renda extra" ou "sinais de cripto" distribuíram o Mars Stealer disfarçado de ferramentas de análise - Campanhas de phishing com tema de restituição do Imposto de Renda, Nota Fiscal Eletrônica e boleto foram usadas como isca **Impacto regulatório:** - A [[lgpd|LGPD]] exige notificação à [[anpd|ANPD]] quando dados financeiros de brasileiros são exfiltrados - O [[bacen|Banco Central]] exige controles em plataformas de pagamento que integram ativos digitais ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Mars Stealer (TLP:GREEN) > **Comportamento suspeito:** > Processo explorer.exe com conexão HTTP de saída incomum > Criação de arquivos ZIP temporários em %TEMP% antes de transmissão > Acesso a SQLite de perfis de navegadores por processo não-browser > > **DLLs baixadas pelo C2:** > sqlite3.dll, nss3.dll, softokn3.dll, vcruntime140.dll > Criados em %APPDATA% ou %TEMP% por processo suspeito > > **Rede:** > HTTP POST para IPs não reconhecidos com corpo base64/RC4 > User-Agent genérico ou ausente em requisições POST > > **Fonte:** Morphisec Threat Labs · eSentire TRU · Sekoia.io **Mitigações recomendadas:** - Implementar [[m1049-antivirus|M1049]] com detecção comportamental para process hollowing - Usar [[m1054-software-configuration|M1054]]: desabilitar salvamento de senhas em navegadores corporativos - Monitorar via [[ds0009-process-creation|DS0009]] processos filhos de explorer.exe com conexões de rede - Aplicar [[m1017-user-training|M1017]]: treinar sobre riscos de software pirata e canais Telegram não oficiais - Usar gerenciadores de senha com hardware MFA em vez de extensões de navegador para carteiras cripto ## Referências - [1](https://www.morphisec.com/hubfs/eBooks%20and%20Reports/mars-stealer-report.pdf) Morphisec - Mars Stealer Technical Analysis (2022) - [2](https://esentire.com/blog/mars-stealer-is-on-the-rise) eSentire TRU - Mars Stealer on the Rise (2022) - [3](https://blog.sekoia.io/mars-stealer-the-new-oski/) Sekoia.io - Mars Stealer: The New Oski (2022) - [4](https://www.bleepingcomputer.com/news/security/mars-stealer-malware-pushed-via-openoffice-ads-on-google/) BleepingComputer - Mars Stealer Pushed via OpenOffice Ads (2022) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.mars_stealer) Malpedia - Mars Stealer Entry (2022) - [6](https://attack.mitre.org/software/S0681/) MITRE ATT&CK - Mars Stealer (2022)