# Mars Stealer - Campanha CERT-UA 2022 > [!high] Infostealer contra Ucrânia - Isca do Ministério da Educação (março 2022) > Em março de 2022, o CERT-UA emitiu alerta sobre campanha do ator UAC-0041 distribuindo o Mars Stealer via emails que imitavam comúnicados oficiais do Ministério da Educação e Ciência da Ucrânia. A campanha explorou o contexto da invasão russa para distribuir infostealers a funcionários públicos ucranianos sob o pretexto de "diários eletrônicos de aprendizagem". ## Visão Geral Em março de 2022, em plena crise da invasão russa da Ucrânia, o CERT-UA (Computer Emergency Response Team da Ucrânia) públicou alerta sobre uma campanha de infostealer direcionada a funcionários e cidadãos ucranianos. O ator rastreado como UAC-0041 enviou emails phishing imitando comúnicados oficiais do Ministério da Educação e Ciência da Ucrânia, prometendo acesso a "diários eletrônicos de aprendizagem" - recursos relevantes no contexto de ensino remoto forçado pela guerra. O payload desta campanha foi o [[mars-stealer|Mars Stealer]], um infostealer de alto desempenho comercializado em fóruns de cibercrime russos desde 2021. Mars Stealer é uma evolução do Oski Stealer com expansão significativa de capacidades: suporte a mais de 30 navegadores, 20+ carteiras de criptomoeda, plugins de autenticação de dois fatores (2FA), além das capacidades usuais de roubo de credenciais, cookies e screenshots. A escolha do pretexto educacional durante uma guerra é operacionalmente significativa: em março de 2022, educadores, pais de alunos e funcionários do setor educacional ucraniano estavam sobrecarregados com a transição para ensino de emergência, tornando-os mais suscetíveis a abrir anexos de emails que apareciam ser do Ministério. O malware visava extrair credenciais de acesso a sistemas governamentais, emails corporativos e contas bancárias desses funcionários. A campanha ilustra uma tendência crescente: o uso de infostealers como ferramenta de espionagem de baixo custo em conflitos, complementando operações mais sofisticadas de APTs. Para o Brasil, esta campanha é um estudo de caso em como contextos de crise (pandemia, emergências, reformas governamentais) são explorados para distribuição de malware com pretexto de serviços públicos. > [!latam] Relevância para o Brasil > O padrão desta campanha — **isca de órgão público + contexto de crise + infostealer** — é exatamente o modelo dominante de phishing no Brasil. O **Mars Stealer** é detectado em campanhas contra usuários brasileiros de criptomoedas e clientes de internet banking. Emails falsos imitando **Receita Federal, INSS, Caixa Econômica ou Ministério da Saúde** seguem o mesmo padrão documentado pelo CERT-UA em 2022. A capacidade do Mars Stealer de roubar **plugins de 2FA e carteiras cripto** representa risco direto para o crescente mercado de criptoativos brasileiro. ## Análise da Campanha **Vetor e isca:** - Emails phishing imitando o Ministério da Educação e Ciência da Ucrânia - Assunto relacionado a "diários eletrônicos de aprendizagem" (contexto ensino remoto de guerra) - Arquivo compactado contendo executável malicioso **Payload:** - [[mars-stealer|Mars Stealer]]: infostealer escrito em Assembly/C, 95KB, compilado para x86 - Criptografia RC4 nas comúnicações com C2 - Foco em credenciais de navegadores, cookies de sessão, carteiras cripto e dados de autenticação 2FA ```mermaid graph TB A["📧 Email Phishing<br/>Falso Ministério<br/>Educação Ucrânia"] --> B["📎 Arquivo Compactado<br/>Pretexto: diários<br/>eletrônicos de aula"] B --> C["⚙️ Execução Mars Stealer<br/>95KB, assembly/C<br/>sem escrita em disco"] C --> D["🌐 Roubo Navegadores<br/>Chrome/Firefox/Edge<br/>credenciais + cookies"] D --> E["💰 Roubo 2FA<br/>Plugins Auth<br/>Authy, Google Auth"] E --> F["💳 Roubo Cripto<br/>20+ carteiras<br/>wallet.dat e extensões"] F --> G["📸 Screenshot<br/>Desktop capturado<br/>+ info do sistema"] G --> H["📡 C2 RC4<br/>Dados exfiltrados<br/>para servidor ator"] ``` *Contexto: invasão russa Ucrânia (fev 2022) - ator: UAC-0041* ## Capacidades do Mars Stealer | Categoria | Detalhes | |-----------|----------| | **Navegadores** | 30+ Chrome, Firefox, Edge, Opera e derivados - credenciais, cookies, histórico | | **Plugins 2FA** | Google Authenticator, Authy, Microsoft Authenticator - backup codes e seeds | | **Carteiras cripto** | 20+ Bitcoin, Ethereum, Monero e outros - wallet.dat e extensões de navegador | | **Screenshots** | Captura imediata do desktop no momento da infecção | | **Sistema** | Hardware, SO, processos, senhas de formulários salvos | | **Grabber** | Arquivos por extensão configurada pelo operador | ## TTPs MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1566.001 | Spearphishing Attachment | Acesso Inicial | Email imitando Ministério da Educação | | T1059.005 | Visual Basic | Execução | Scripts para extrair e executar payload | | T1555.003 | Credentials from Web Browsers | Coleta | 30+ navegadores comprometidos | | T1539 | Steal Web Session Cookie | Coleta | Cookies de sessão para account takeover | | T1027 | Obfuscated Files | Evasão | RC4 nas comúnicações C2 | | T1105 | Ingress Tool Transfer | C2 | Download de módulos adicionais | | T1113 | Screen Capture | Coleta | Screenshot do desktop na infecção | ## Contexto Geopolítico: Infostealer como Arma de Guerra A campanha UAC-0041 com Mars Stealer ilustra o uso de malware comercial de cibercrime como instrumento de coleta de inteligência em conflito armado. Em março de 2022, múltiplas campanhas simultâneas de diferentes atores visavam ucranianos com pretextos relacionados à guerra: doações humanitárias, evacuações, comúnicados governamentais e educação. O CERT-UA públicou mais de 50 alertas em 2022 documentando campanhas similares, cobrindo atores que vão de grupos patrocinados pelo estado russo (Sandworm, APT29, APT28) até cibercriminosos oportunistas como o UAC-0041 usando ferramentas comerciais. ## Relevância Brasil e LATAM Esta campanha tem três lições diretas para o Brasil: 1. **Pretextos governamentais**: Campanhas usando o nome de ministérios, INSS, Receita Federal ou outros órgãos são constantes no Brasil. O padrão UAC-0041 é idêntico ao usado por grupos que visam brasileiros com pretextos de FGTS, CPF ou benefícios 2. **Contexto de crise como vetor**: A pandemia de COVID-19 foi usada extensivamente para distribuição de malware no Brasil em 2020-2021. O padrão se repete em qualquer contexto de crise que justifique "comúnicados urgentes" 3. **Mars Stealer no Brasil**: O Mars Stealer é vendido globalmente e tem sido detectado em campanhas contra usuários brasileiros de criptomoedas e clientes de internet banking ## Detecção e Defesa **Indicadores comportamentais:** - Arquivo executável dentro de arquivo compactado baixado de email - Processo de ~95KB acessando banco de dados Chrome Login Data - Conexões HTTP de saída para IPs com alto volume de dados logo após execução de arquivo novo - Processo encerrado imediatamente após execução (sem persistência por padrão) **Mitigações prioritárias:** - Treinamento de phishing com ênfase em pretextos governamentais e de órgãos públicos - Política de não abrir executáveis de emails, especialmente em formato compactado - [[m1049-antivirus-antimalware|EDR]] com detecção de acesso anômalo ao banco de dados de senhas do browser - MFA em todas as contas - cookies roubados perdem valor se o serviço requer MFA por sessão ## Referências - [1](https://cert.gov.ua/article/37626) CERT-UA - Campanha UAC-0041 Mars Stealer (2022) - [2](https://malpedia.caad.fkie.fraunhofer.de/details/win.mars_stealer) Malpedia - Mars Stealer - [3](https://www.bleepingcomputer.com/news/security/mars-stealer-malware-pushed-via-openoffice-google-ads-campaign/) BleepingComputer - Mars Stealer via Google Ads (2022) - [4](https://3xp0rt.com/posts/mars-stealer) 3xp0rt - Mars Stealer Technical Analysis (2022) - [5](https://attack.mitre.org/software/S0526/) MITRE ATT&CK - Mars Stealer referências