MarsStealer

MarsStealer is a C++-based infostealer family that emerged in 2022. RC2/XOR C2, browser, crypto wallet, Discord, Steam, 2FA token stealing. AZORult heir.

Also Known As: Oski Stealer variant, Mars 2.9

History

2021 yilinda piyasaya surulen MarsStealer, Oski Stealer mirasini devralan C ile yazilmis bir infostealer'dir. HTTP POST ile C2 haberlesmesi saglayan MarsStealer; 20+ tarayici, kripto cuzdanlar, Authy 2FA, Telegram sessions ve OpenVPN bilgilerini hedeflemektedir. 2022 yilinda kaynak kodu sizarak darknet'te yayilmistir.

Technical Details

Mars Stealer is a C-based information stealer sold on underground forums since 2021. Successor to Oski Stealer (abandoned after developer arrest in 2020). Targets 40+ browser extensions including MetaMask, Coinbase Wallet, Ledger Live, Atomic, Exodus. Steals: browser passwords/cookies/autofill, screenshots, system info (hardware ID, username, OS), FileZilla/WinSCP credentials, Telegram sessions. Small footprint (~95KB), HTTP POST for exfiltration with base64+XOR encoding. Uses SQLite to parse browser credential stores. Delivered via cracked software downloads, fake Telegram/Discord bots, SEO poisoning. Web panel: SQLite backend, panel sold alongside stealer for ~$140.
Attribution
Unknown (sold on XSS/Exploit.in forums)
Threat Profile
Type Infostealer
Programming LanguageC
C2 ProtocolHTTPS
First Seen2021
Targets Windows
Purpose / Capabilities
  • Browser Credential Theft
  • Crypto Wallet
  • Extension Bypass
  • Telegram Exfil
No C2 servers have been identified for this family yet.

Research Reports (16)

High

MarsStealer -- host.exe 163KB, Şifreli C2 Fragmentleri, RC2/XOR Şifreleme | Yüksek

MarsStealer host.exe 163KB. Sifreli C2 fragmentleri. RC2/XOR sifreleme. Stealer.

Read Report →
High

MarsStealer Virüsü Nasıl Temizlenir? — Adım Adım Kaldırma Rehberi

MarsStealer zararlı yazılımının sisteminizden nasıl tamamen kaldırılacağını öğrenin. Gerçek analiz IOC'lerine dayanan adım adım temizleme talimatları ve önleme önerileri.

Read Report →
High CVSS 7.5

MarsStealer — request.zip [3de1fb0d]

Bu ornek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kisisel verileri toplayan bir bilgi hırsızı (infostealer) olarak siniflandirilmistir. Tarayici kayitli parolalar, cerezler, kripto para cüzdani verileri ve o...

Read Report →
High CVSS 7.5

MarsStealer — MSN.exe [2ba0f24b]

Bu ornek, etkilenen sistemlerdeki hassas kimlik bilgilerini ve kisisel verileri toplayan bir bilgi hırsızı (infostealer) olarak siniflandirilmistir. Tarayici kayitli parolalar, cerezler, kripto para cüzdani verileri ve o...

Read Report →
High

MarsStealer - Derin Statik Analiz (c63c2ae5)

MarsStealer c63c2ae5 - C2: Tespit edilemedi | Config tespit edilemedi

Read Report →
High

MarsStealer - Derin Statik Analiz (8c54ba34)

MarsStealer 8c54ba34 - C2: Tespit edilemedi | Config tespit edilemedi

Read Report →
High

MarsStealer - Derin Statik Analiz (c24d3ad6)

MarsStealer c24d3ad6 - C2: Tespit edilemedi | Config tespit edilemedi

Read Report →
High

MarsStealer - Derin Statik Analiz (a2c6f733)

MarsStealer a2c6f733 - C2: Tespit edilemedi | Config tespit edilemedi

Read Report →
High

MarsStealer - Derin Statik Analiz (aedd3ab9)

MarsStealer aedd3ab9 - C2: Tespit edilemedi | Config tespit edilemedi

Read Report →
High

MarsStealer - Derin Statik Analiz (95b22960)

MarsStealer 95b22960 - C2: code.visualstudio.com | C2: code.visualstudio.com

Read Report →
High

MarsStealer - Derin Statik Analiz (18c7c5e7)

MarsStealer 18c7c5e7 - C2: Tespit edilemedi | Config tespit edilemedi

Read Report →
High

MarsStealer - Derin Statik Analiz (6a15e273)

MarsStealer 6a15e273 - C2: Tespit edilemedi | Config tespit edilemedi

Read Report →
High

MarsStealer - Derin Statik Analiz (38113b90)

MarsStealer 38113b90 - C2: Tespit edilemedi | Config tespit edilemedi

Read Report →
High

MarsStealer - Derin Statik Analiz (194e7c69)

MarsStealer 194e7c69 - C2: Tespit edilemedi | Config tespit edilemedi

Read Report →
High

MarsStealer - Derin Statik Analiz (0d3c3f5a)

MarsStealer 0d3c3f5a - C2: Tespit edilemedi | Config tespit edilemedi

Read Report →
High

MarsStealer - Derin Statik Analiz (03989d0a)

MarsStealer 03989d0a - C2: Tespit edilemedi | Config tespit edilemedi

Read Report →