Команде реагирования на чрезвычайные события Украины CERT-UA поступила информация о массовом распространении электронных писем с темой «Новая программа для записи в журнале».
Их получали как обычные украинцы, так и украинские организаций. Текст электронного письма содержал уведомления Министерства образования и науки Украины о «электронных учебных журналах», а также ссылку на «программу» и пароль на архив. «В случае открытия архива и запуска EXE-файла, компьютер будет поражен вредоносной программой, которая, по совокупности признаков (несмотря на некоторые отличия), классифицирована как MarsStealer.
MarsStelaer — вредоносная программа-стиллер, разработанная с использованием языков программирования C/ASM. Основной функционал — сбор информации о компьютере, похищение аутентификационных данных из интернет-браузеров, плагинов крипто-кошельков, программ многофакторной аутентификации, похищение файлов, а также загрузка и запуск исполняемых файлов и изготовление снимка экрана», — сказано в официальной публикации.
Вирус MarsStelaer продается на тематических форумах. По данным CERT-UA, после приостановки продаж стиллера Racoon, он выступает в качестве альтернативы. «Заметим, что заявленный функционал, предусматривающий избегание случаев применения стиллера в отношении «стран СНГ», отключен путем патчинга вызовов соответствующих функций.