Bu rehber, gerçek MarsStealer örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 IP, 1 domain, 1 mutex).

MarsStealer Nedir?

MarsStealer, ilk olarak 2021 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

Mars Stealer is a C-based infostealer targeting crypto wallets, browser credentials, 2FA apps. Successor to Oski Stealer.

Atıf / Tehdit Aktörü: Unknown (sold on XSS/Exploit.in forums)

Teknik Detay: Mars Stealer is a C-based information stealer sold on underground forums since 2021. Successor to Oski Stealer (abandoned after developer arrest in 2020). Targets 40+ browser extensions including MetaMask, Coinbase Wallet, Ledger Live, Atomic, Exodus. Steals: browser passwords/cookies/autofill, scre

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek MarsStealer örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
03989d0af03476f5611d18e2e8f6706be0d542707336c2b426035c78335f1328SHA256MarsStealer
0d3c3f5ab1dca1d14b7183f640a5be2fb678d23b641c5c3da7d70367138a1f9bSHA256MarsStealer
194e7c6950fa1cbcbc2497a77caeeaaf6789fbdcc86fdc7295026a7df647c24dSHA256MarsStealer
38113b90d88c6ba2238c3fb81d4eb6467795dd31745cd5c3ec606ec36913354aSHA256MarsStealer
6a15e2734d22e9b1fce00ad3febe41c16582174e2dc029e24c7d5ec73eb28954SHA256MarsStealer
43a6d187744810b00a60beaeea2c8074MD5MarsStealer
ae6222545959da032fe80c84c103136dMD5MarsStealer
f17b316eb22f224a240cc39d1eb14af6MD5MarsStealer
27895a2937d651ee6d6a40cbaace49eeMD5MarsStealer
cda548aedabf744baf41925582ab3e50MD5MarsStealer

Süreç Tespiti — Mutex Değerleri

Process Explorer veya Process Hacker ile aşağıdaki mutex değerlerini arayın; bu değerlerin varlığı aktif MarsStealer enfeksiyonuna işaret eder:

  • Global_MarsStealer_Mutex

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — MarsStealer Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Mutex listesini (yukarıdaki bölüm) Process Hacker ile kontrol edin.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen MarsStealer C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

Domain Adresleri

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.