Strzec się! Nowe złośliwe oprogramowanie „Złodziej Marsa” może ukraść Twoje krypto

Według badacza bezpieczeństwa 3xp0rtZłodziej Marsa to zaawansowana aktualizacja trojana Oski z 2019 r., który może łupić kryptowalutę przechowywaną w portfelach użytkowników, atakując rozszerzenia przeglądarki portfeli. 

Nowe złośliwe oprogramowanie atakuje portfele kryptograficzne oparte na przeglądarce 

Zgodnie z 3xp0rt, Złodziej Marsa jest potężny malware atakuje ponad 40 portfeli opartych na przeglądarce, ostrożnie nawigując po funkcjach bezpieczeństwa portfela, takich jak uwierzytelnianie dwuskładnikowe za pomocą funkcji grabber, która kradnie klucze prywatne z portfela użytkownika. 

W oficjalnym wpisie na blogu stwierdzono:

„Mars Stealer napisany w ASM/C z wykorzystaniem WinApi, waga to 95 kb. Używa specjalnych technik do ukrywania wywołań WinApi, szyfruje ciągi, zbiera informacje w pamięci, obsługuje bezpieczne połączenie SSL z C&C, nie używa CRT, STD.” 

Mars Stealer może z łatwością zagrozić rozszerzeniom kryptograficznym, w tym popularnym portfelom, takim jak MetaMask, Nifty wallet, Coinbase wallet, Binance Chain Wallet i Tron Link. 3xp0rt informuje również, że Malware atakuje rozszerzenia oparte na Chromium, z wyjątkiem Opery. 

Mars Stealer może również wydobywać cenne informacje dotyczące modelu procesora, nazwy komputera, identyfikatora maszyny, identyfikatora GUID, zainstalowanego oprogramowania i jego wersji, nazwy użytkownika i nazwy komputera domeny. 

Inną interesującą cechą tego złośliwego oprogramowania jest to, że Mars Stealer przeprowadza wstępne sprawdzenie kraju pochodzenia użytkownika, aby sprawdzić, czy użytkownik należy do wspólnoty niezależnych państw. Jeśli identyfikator użytkownika należy do krajów takich jak Rosja, Kazachstan, Białoruś, Azerbejdżan i Uzbekistan, program nie wykona żadnych negatywnych działań i zamknie aplikację.

Mars Stealer jest znany z tego, że atakuje rozszerzenia portfeli, rozprzestrzeniając się wieloma kanałami, w tym witrynami hostującymi pliki, klientami torrentowymi i podejrzanymi witrynami. Po wejściu do rozszerzenia portfela kryptograficznego złośliwe oprogramowanie dokonuje kradzieży, sabotując osobiste klucze portfela i funkcje bezpieczeństwa, a następnie opuszcza rozszerzenie po usunięciu wszelkich widocznych śladów kradzieży.

Bezpieczeństwo portfela kryptograficznego było często gorącym tematem do dyskusji, ponieważ wiele oszustw i rozpowszechniło się kradzież raporty miały miejsce w domenie kryptowalut. Raport o szerzącym się nowym złośliwym oprogramowaniu jest również publikowany w celu ostrzeżenia inwestorów, aby zachowali ostrożność i zwracali szczególną uwagę podczas przechowywania kryptowalut w rozszerzeniach portfela opartych na przeglądarce.