Команді реагування на надзвичайні події України CERT-UA надійшла інформація про поширення електронних листів з темою «Нова програма для запису в журналі». Їх отримували як звичайні українці, так і українські організації. Текст електронного листа містив повідомлення Міністерства освіти і науки України про «електронні навчальні журнали», а також посилання на «програму» та пароль на архів.
«У разі відкриття архіву та запуску EXE-файлу, комп’ютер буде вражений шкідливою програмою, яка, за сукупністю ознак (попри деякі відмінності), класифікована як MarsStealer. MarsStelaer – шкідлива програма-стілер, розроблена з використанням мов програмування C/ASM. Основний функціонал — збір інформації про комп’ютер, викрадення аутентифікаційних даних з інтернет-браузерів, плагінів крипто-гаманців, програм багатофакторної аутентифікації, викрадення файлів, а також завантаження та запуск файлів, що виконуються, та виготовлення знімка екрана», — сказано в офіційній публікації.
Вірус MarsStelaer продається на тематичних форумах. За даними CERT-UA, після призупинення продажів стиллера Racoon, він виступає як альтернатива.
«Зауважимо, що заявлений функціонал, який передбачає уникнення випадків застосування стілера щодо «країн СНД», відключено шляхом патчингу викликів відповідних функцій. Виявлена активність відслідковується за ідентифікатором UAC-0041 як діяльність однієї з груп, яка має на меті викрадення автентифікації користувачів», — додали українські фахівці.
Раніше команда CERT-UA повідомила про розсилку на пошту українським держорганам листів з темою «Заборгованість із зарплати» та прикріпленою таблицею «Заборгованість із зарплати.xls». Як вкладення були додані кодовані дані, які після активації декодував макрос і створював EXE-файл “Base-Update.exe” на комп’ютері жертви і запускав його. Потім цей файл завантажував і запускав інший завантажувач, а той уже забезпечував наступні завантаження і запуск на комп’ютері відразу двох шкідливих програм: GraphSteel і GrimPlant.