Złośliwe oprogramowanie „Mars Stealer” może przechwycić Twoje krypto

Ulepszona kopia szkodliwego oprogramowania Oski Stealer (po raz pierwszy wprowadzonego w listopadzie 2019 r.) znanego jako „Mars Stealer” pojawiła się na wolności i potrafi kraść kryptowaluty z popularnych rozszerzeń przeglądarek.

Lekki, złośliwy program

Mars Stealer to lekki złośliwy program o rozmiarze zaledwie 95 KB, ale stwarzany przez niego problem bezpieczeństwa nie jest drobnostką.

Mars Stealer wykorzystuje niestandardowy grabber, aby pobrać swoją konfigurację z infrastruktury dowodzenia i kontroli, a następnie przechodzi do danych aplikacji z popularnych przeglądarek internetowych, wtyczek uwierzytelniania dwuskładnikowego oraz wielu rozszerzeń i portfeli kryptowalut. 

Szkodliwy trojan zaczął krążyć na rosyjskojęzycznych forach hakerskich latem 2021 roku i jest w stanie infekować systemy poprzez podejrzane kanały pobierania (np. nieoficjalne i bezpłatne witryny do hostingu plików, sieci wymiany peer-to-peer, takie jak klienci torrent i inne zewnętrzne programy do pobierania).

Do najpopularniejszych list wtyczek do przeglądarek kryptowalut, które Mars Stealer może wykorzystać, należą MetaMask, Binance Chain Wallet, Nifty Wallet, Coinbase Wallet i Guarda. Jest również w stanie wykorzystać Bitcoin Core, Electrum, Exodus, Atomic, Binance, Coinomi.

Aplikacje do uwierzytelniania dwuskładnikowego, takie jak Authy i GAuth Authenticator, a także przeglądarki internetowe, takie jak Brave, Opera i Firefox, również mogą stać się celem Mars Stealer.

Szczególnie interesującą cechą tego złośliwego oprogramowania jest to, że sprawdza, czy użytkownik ma siedzibę w kraju, który historycznie jest częścią Wspólnoty Niepodległych Państw. Jeśli identyfikator języka urządzenia jest zgodny z Rosją, Białorusią, Kazachstanem, Azerbejdżanem, Uzbekistanem i Kazachstanem, program zakończy działanie, nie wykonując żadnego złośliwego zachowania.

Podsumowując, ta forma złośliwego oprogramowania może powodować wiele problemów u ofiar, w tym infekcje systemu, problemy z prywatnością, straty finansowe i kradzież tożsamości. Można w nim przeczytać szczegółową analizę techniczną szkodliwego oprogramowania publikacja by badacz @3xp0rt.

Ujawnienie: w momencie pisania tego tekstu autor tej funkcji był właścicielem ETH i kilku innych kryptowalut.