# Mars Stealer Campaign 2022 > [!high] Campanha de Distribuição em Massa do Mars Stealer via Google Ads Maliciosos > A campanha Mars Stealer de 2022 usou anúncios maliciosos no Google (malvertising) para distribuir o [[mars-stealer|Mars Stealer]] disfarçado de instaladores de software popular (Notepad++, 7-Zip, WinRAR). Em um incidente documentado, um único operador acumulou mais de 2 milhões de credenciais em semanas. ## Visão Geral A campanha Mars Stealer de 2022 representa um dos casos mais documentados de distribuição em massa de infostealer via malvertising. Entre março e junho de 2022, operadores do [[mars-stealer|Mars Stealer]] — um infostealer derivado do Oski Stealer — utilizaram anúncios pagos no Google Search para distribuir instaladores trojanizados de software legítimo popular. Os anúncios maliciosos apareciam no topo dos resultados de busca do Google para termos como "Notepad++ download", "7-Zip download", "WinRAR download" e "OpenOffice download". Usuários que clicavam nos anúncios eram redirecionados para sites de phishing visualmente idênticos ao original, que serviam instaladores com o Mars Stealer embutido. A escala da campanha foi documentada por um pesquisador de segurança que infiltrou o painel C2 de um único operador: em poucas semanas, o operador havia comprometido mais de 2 milhões de credenciais de usuários de todo o mundo. O Mars Stealer é especializado em roubar credenciais de navegadores, extensões de criptomoeda (MetaMask, TronLink, etc.) e autenticadores 2FA baseados em browser. > [!latam] Relevância para o Brasil e LATAM > A campanha Mars Stealer 2022 atingiu usuários globais sem distinção geográfica — qualquer usuário brasileiro que buscou por "Notepad++ download" ou "7-Zip download" no Google durante o período esteve exposto. O Brasil tem alta adoção de software como Notepad++ em ambientes corporativos, tornando o vetor especialmente eficaz. O [[financial|setor financeiro]] e empresas de **tecnologia** devem monitorar exposição de credenciais corporativas em feeds de breach data e implementar treinamento anti-phishing específico para malvertising. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-phishing\|T1566]] | Malvertising via Google Ads disfarçado de software legítimo | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo massivo de credenciais via Mars Stealer | ## Linha do Tempo | Data | Evento | |------|--------| | Mar 2022 | Primeiros anúncios maliciosos do Mars Stealer identificados no Google | | Abr 2022 | Pesquisador documenta painel C2 com 2M+ de credenciais | | Mai 2022 | Google remove lote de anúncios após relatórios | | Jun 2022 | Atividade diminui significativamente após takedown parcial | ## Referências - [3xp0rt - Mars Stealer Google Ads Campaign Analysis (2022)](https://3xp0rt.com/posts/mars-stealer) - [BleepingComputer - Mars Stealer Targets Google Ads Users (2022)](https://www.bleepingcomputer.com/news/security/mars-stealer-malware-pushed-via-openoffice-google-ads/) - [The Hacker News - Mars Stealer Campaign (2022)](https://thehackernews.com)