Mars Stealer資料竊取惡意軟體近期於駭客論壇越來越受歡迎，起因為Raccoon Stealer惡意軟體受俄烏戰爭影響而停止維運，Mars Stealer運作方式與Raccoon相似，成為駭客之替代方案。

Morphisec研究人員發現Mars Stealer利用Google Ads，於加拿大之搜尋結果放置假冒OpenOffice網頁之惡意網址，因其位於Google搜尋結果之第一位，將誘導使用者點選並下載惡意軟體。該惡意軟體實際上為Mars Stealer之執行檔加上Babadeda加密程式或Autoit載入程式，使用者將不自覺被感染，且個人資料遭竊取，包括瀏覽器自動填入資料、瀏覽器擴充資料、信用卡資料、IP位置、國家代碼及時區等資料。此外，Morphisec表示被盜最多之瀏覽器擴充程式為MetaMask，其次為Coinbase Wallet、Binance Wallet及Math錢包，都是用於管理加密貨幣之錢包。

Mars Stealer所造成之威脅與日俱增，目前其散布之管道已超過47個暗網網站、駭客論壇、Telegram群組及非官方途徑。為防止個人資料遭受竊取，須確保點選之網站為官方網站而不是Google Ad 提供之網站，並於開啟檔案前使用防毒軟體進行掃描。

https://www.bleepingcomputer.com/news/security/mars-stealer-malware-pushed-via-openoffice-ads-on-google/
https://www.irs.gov/newsroom/security-summit-warns-of-new-irs-impersonation-email-scam-reminds-taxpayers-the-irs-does-not-send-unsolicited-emails