# Mars Stealer - Campanha OpenOffice Canada 2022 > [!medium] Infostealer via Google Ads Maliciosos - Site Falso OpenOffice Canada > Em março de 2022, a Morphisec documentou campanha do Mars Stealer usando anúncios no Google Ads geolimitados ao Canadá, promovendo um site clone do Apache OpenOffice. Ao baixar o "instalador", as vítimas recebiam o Mars Stealer empacotado com o loader Babadeda e scripts AutoIt. O ator russo responsável acidentalmente se autoinfectou durante os testes. ## Visão Geral Em março de 2022, pesquisadores da Morphisec identificaram e documentaram uma campanha sofisticada do [[mars-stealer|Mars Stealer]] utilizando Google Ads maliciosos para distribuição. A campanha usava anúncios no Google Search geolimitados ao Canadá, promovendo um site clone do Apache OpenOffice (`openoffice-apache[.]com` e variantes) que aparecia nos primeiros resultados de busca para "openoffice download". A campanha destaca-se por vários aspectos técnicos e operacionais relevantes: **Uso de plataformas legítimas de publicidade**: O uso de Google Ads para distribuição de malware (técnica conhecida como "malvertising") é altamente eficaz porque aparece antes dos resultados orgânicos e carrega o visual de legitimidade do Google. A geolimitação ao Canadá indica operação precisa e planejada, não dispersão massiva. **Cadeia de infecção multicamada**: O payload não era o Mars Stealer diretamente - era um instalador que continha o loader [[babadeda-crypter|Babadeda]] (um crypter desenvolvido específicamente para evadir detecção por AV) em conjunto com scripts AutoIt que descriptografavam e executavam o Mars Stealer em memória. **Auto-infecção do operador**: Durante a análise forense da infraestrutura, a Morphisec identificou que o servidor C2 do ator continha logs com informações do próprio computador do operador - indicando que o ator russo responsável pela campanha havia testado o malware em sua própria máquina sem isolar adequadamente o ambiente de teste, e as credenciais de sua estação foram exfiltradas junto com as das vítimas. O [[mars-stealer|Mars Stealer]] roubou credenciais de serviços bancários canadenses, plataformas de criptomoedas, contas de email e redes sociais das vítimas que baixaram o "instalador" do falso site OpenOffice. ## Cadeia de Infecção A campanha utilizou múltiplas camadas de software para maximizar a evasão: **Camada 1 - Google Ads maliciosos:** - Anúncios geolimitados ao Canadá no Google Search - Site clone hospedado em domínio com visual idêntico ao Apache OpenOffice legítimo - Certificado SSL válido para aparência de legitimidade **Camada 2 - Instalador malicioso:** - Arquivo MSI ou EXE imitando instalador do OpenOffice - Contém o Babadeda crypter como wrapper do payload real - AutoIt scripts para execução e evasão **Camada 3 - Mars Stealer:** - Executado em memória via AutoIt loader - Sem escrita em disco do payload principal - Exfiltração imediata via HTTP cifrado para servidor C2 ```mermaid graph TB A["🔍 Google Ads<br/>Busca: openoffice canada<br/>Anúncio geolimitado"] --> B["🌐 Site Falso<br/>openoffice-apache.com<br/>Clone visual perfeito"] B --> C["⬇️ Download Falso<br/>MSI/EXE imitando<br/>instalador OpenOffice"] C --> D["🔓 Babadeda Crypter<br/>Decripta payload<br/>evade antivírus"] D --> E["⚙️ AutoIt Loader<br/>Executa Mars Stealer<br/>em memória"] E --> F["💳 Roubo Credenciais<br/>Navegadores, cripto<br/>email, redes sociais"] F --> G["📡 C2 HTTP<br/>Dados exfiltrados<br/>para servidor ator"] G --> H["💥 Auto-infecção<br/>Ator testa em si mesmo<br/>logs próprios roubados"] ``` *Distribução: malvertising Google Ads - Ferramentas: [[babadeda-crypter|Babadeda]] · AutoIt* ## TTPs MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1583.003 | Virtual Private Server | Infraestrutura | Servidor C2 em VPS de baixo custo | | T1608.001 | Upload Malware | Infraestrutura | Site clone hospedado para distribuição | | T1189 | Drive-by Compromise | Acesso Inicial | Google Ads redirecionando para site malicioso | | T1555.003 | Credentials from Web Browsers | Coleta | 30+ navegadores comprometidos | | T1539 | Steal Web Session Cookie | Coleta | Cookies para account takeover | | T1027 | Obfuscated Files | Evasão | Babadeda crypter + AutoIt loader | | T1204.002 | Malicious File | Execução | Vítima executa instalador manualmente | | T1113 | Screen Capture | Coleta | Screenshot do desktop | ## Análise da Auto-infecção do Operador A auto-infecção do ator responsável é um fenômeno documentado no ecossistema de cibercrime russo e é operacionalmente significativo: O CERT-UA e pesquisadores identificaram na análise do servidor C2 do Mars Stealer os logs contendo informações típicas de vitimologia - mas com nome de usuário, idioma do sistema (russo) e configurações de hardware que correspondiam ao perfil de um desenvolvedor/operador testando sua própria ferramenta. Isso indica: 1. **Falta de ambiente de teste isolado**: O operador testou o malware em sua máquina principal sem VM ou sandbox 2. **Opsec deficiente**: Mesmo desenvolvendo malware, cometeu o erro básico de não separar ambientes 3. **Rastreabilidade**: Os logs do próprio operador forneceram inteligência forense adicional para pesquisadores ## Relevância Brasil e LATAM > [!latam] Relevância para o Brasil > O playbook de **malvertising via Google Ads** é replicado no Brasil com lures imitando **DETRAN**, **Receita Federal**, **Caixa Econômica Federal** e software popular como **LibreOffice** e **VLC**. O **Mars Stealer** foi detectado em múltiplas campanhas na América Latina em 2022-2023, frequentemente distribuído via sites de software pirata. O roubo de **cookies de sessão bancária** é especialmente valioso no contexto brasileiro, onde Internet banking usa tokens OTP e autenticação por biometria — tornando a sessão ativa um ativo crítico para atacantes. Esta campanha é diretamente relevante para o Brasil por duas razões: **Malvertising como vetor crescente**: O uso de Google Ads para distribuição de malware é uma tendência global crescente. No Brasil, campanhas similares têm distribuído infostealers, bankers e RATs via anúncios que imitam DETRAN, Receita Federal, Caixa Econômica Federal e software popular como LibreOffice e VLC. O mesmo playbook da campanha Canada-OpenOffice é aplicado com luras brasileiras. **Mars Stealer ativo em campanhas LATAM**: O [[mars-stealer|Mars Stealer]] foi detectado em múltiplas campanhas na América Latina em 2022-2023, frequentemente distribuído via sites de software pirata e malvertising. O roubo de credenciais de internet banking brasileiro, que opera com tokens OTP e autenticação por biometria em apps, torna o roubo de cookies de sessão ainda mais valioso para atacantes. ## Detecção e Defesa **Indicadores comportamentais:** - Download de instalador via navegador de site com domínio similar a software legítimo mas diferente do oficial - Arquivo MSI/EXE instalado que não aparece no histórico de programas instalados (execução efêmera) - Processo AutoIt (`AutoIt3.exe` ou variante) executando em diretório temporário - Conexão HTTP de saída logo após execução de instalador, enviando grande quantidade de dados **Indicadores de comprometimento (Google Ads):** - Anúncios Google para software gratuito - software legítimo gratuito raramente paga por anúncios Google - URL do anúncio diferente do domínio oficial do software (verificar `apache.org` vs `openoffice-apache.com`) - Domínio recém-registrado (< 30 dias) hospedando "download" de software popular **Mitigações:** - Bloquear download de executáveis via navegador por política corporativa - Treinar usuários para verificar a URL antes de baixar software - especialmente comparando com o domínio oficial - [[m1021-restrict-web-based-content|Filtro de conteúdo web]] bloqueando downloads de executáveis de domínios não categorizados - [[m1049-antivirus-antimalware|EDR]] com detecção de execução anômala de AutoIt em diretório temporário ## Referências - [1](https://www.morphisec.com/hubfs/eBooks%20and%20White%20Papers/Mars-Stealer.pdf) Morphisec - Mars Stealer Malware Analysis Report (2022) - [2](https://malpedia.caad.fkie.fraunhofer.de/details/win.mars_stealer) Malpedia - Mars Stealer - [3](https://www.bleepingcomputer.com/news/security/mars-stealer-malware-pushed-via-openoffice-google-ads-campaign/) BleepingComputer - Mars Stealer via OpenOffice Google Ads (2022) - [4](https://3xp0rt.com/posts/mars-stealer) 3xp0rt - Mars Stealer: A Technical Deep Dive (2022) - [5](https://cert.gov.ua/article/37626) CERT-UA - Mars Stealer Campaign Alert (2022)