Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA отримано інформацію щодо масового розповсюдження електронних листів з темою «Нова програма для запису в журналi» серед громадян України та вітчизняних організацій. Текст електронного листа містить повідомлення, начебто, від Міністерства освіти та науки України щодо «електронних навчальних журналів», а також посилання на програму та пароль на архів.
У разі відкриття архіву та запуску EXE-файлу, комп’ютер буде уражено шкідливою програмою, яку, за сукупністю ознак (незважачи на деякі відмінності), класифіковано як MarsStealer.
MarsStelaer – це шкідлива програма-викрадач (стілер), розроблена з використанням мов програмування C/ASM. Основна функціональність – збір інформації про комп’ютер, викрадення аутентифікаційних даних з інтернет-браузерів, плагінів крипто-гаманців, програм багатофакторної аутентифікації, викрадення файлів. А також завантаження і запуск виконуваних файлів і виготовлення знімку екрана.
Шкідлива програма продається на тематичних форумах. Вірогідно, після призупинки продажів стілера Racoon, використовуватиметься як альтернатива. Зауважимо, що заявлена функціональність, яка передбачає уникнення випадків застосування стілера у відношенні «країн СНД», відключено шляхом патчингу викликів відповідних функцій.
Виявлена активність відстежується за ідентифікатором UAC-0041 як діяльність однієї з груп, що мають на меті викрадення автентифікацйних даних користувачів.
