Такі листи отримували як звичайні українці, так і українські організації. Текст електронного листа містив повідомлення ніби-то Міністерства освіти і науки України про «електронні навчальні журнали», а також посилання на «програму» та пароль на архів.
«У разі відкриття архіву та запуску EXE-файлу, комп’ютер буде вражений шкідливою програмою, яка, за сукупністю ознак (попри деякі відмінності), класифікована як MarsStealer. MarsStelaer – шкідлива програма-стілер, розроблена з використанням мов програмування C/ASM. Основний функціонал — збір інформації про комп’ютер, викрадення аутентифікаційних даних з інтернет-браузерів, плагінів крипто-гаманців, програм багатофакторної аутентифікації, викрадення файлів, а також завантаження та запуск файлів, що виконуються, та виготовлення знімка екрана», — сказано в офіційній публікації.
Вірус MarsStelaer продається на тематичних форумах. За даними CERT-UA, після призупинення продажів стиллера Racoon, він виступає як альтернатива.
«Зауважимо, що заявлений функціонал, який передбачає уникнення випадків застосування стілера щодо «країн СНД», відключено шляхом патчингу викликів відповідних функцій. Виявлена активність відслідковується за ідентифікатором UAC-0041 як діяльність однієї з груп, яка має на меті викрадення автентифікації користувачів», — додали українські фахівці.
