Na wynos
- Mars Stealer jest ulepszoną kopią swojego poprzednika, Oski Stealer.
- Szkodnik wykorzystuje specjalne techniki do zbierania informacji z pamięci kryptograficznych rozszerzeń przeglądarek, portfeli i systemów 2FA.
- Złośliwe oprogramowanie kradnące dane uwierzytelniające pozostaje jednym z najpowszechniejszych typów złośliwego oprogramowania wykorzystywanego w cyberatakach.
Udostępnij ten artykuł
Ulepszona kopia szkodliwego oprogramowania Oski Stealer (po raz pierwszy wprowadzonego w listopadzie 2019 r.) znanego jako „Mars Stealer” pojawiła się na wolności i potrafi kraść kryptowaluty z popularnych rozszerzeń przeglądarek.
Lekki, złośliwy program
Mars Stealer to lekki złośliwy program o rozmiarze zaledwie 95 KB, ale stwarzany przez niego problem bezpieczeństwa nie jest drobnostką.
Mars Stealer wykorzystuje niestandardowy grabber, aby pobrać swoją konfigurację z infrastruktury dowodzenia i kontroli, a następnie przechodzi do danych aplikacji z popularnych przeglądarek internetowych, wtyczek uwierzytelniania dwuskładnikowego oraz wielu rozszerzeń i portfeli kryptowalut.
Szkodliwy trojan zaczął krążyć na rosyjskojęzycznych forach hakerskich latem 2021 roku i jest w stanie infekować systemy poprzez podejrzane kanały pobierania (np. nieoficjalne i bezpłatne witryny do hostingu plików, sieci wymiany peer-to-peer, takie jak klienci torrent i inne zewnętrzne programy do pobierania).
Do najpopularniejszych list wtyczek do przeglądarek kryptowalut, które Mars Stealer może wykorzystać, należą MetaMask, Binance Chain Wallet, Nifty Wallet, Coinbase Wallet i Guarda. Jest również w stanie wykorzystać Bitcoin Core, Electrum, Exodus, Atomic, Binance, Coinomi.
Aplikacje do uwierzytelniania dwuskładnikowego, takie jak Authy i GAuth Authenticator, a także przeglądarki internetowe, takie jak Brave, Opera i Firefox, również mogą stać się celem Mars Stealer.
Szczególnie interesującą cechą tego złośliwego oprogramowania jest to, że sprawdza, czy użytkownik ma siedzibę w kraju, który historycznie jest częścią Wspólnoty Niepodległych Państw. Jeśli identyfikator języka urządzenia jest zgodny z Rosją, Białorusią, Kazachstanem, Azerbejdżanem, Uzbekistanem i Kazachstanem, program zakończy działanie, nie wykonując żadnego złośliwego zachowania.
Podsumowując, ta forma złośliwego oprogramowania może powodować wiele problemów u ofiar, w tym infekcje systemu, problemy z prywatnością, straty finansowe i kradzież tożsamości. Można w nim przeczytać szczegółową analizę techniczną szkodliwego oprogramowania publikacja by badacz @3xp0rt.
Ujawnienie: w momencie pisania tego tekstu autor tej funkcji był właścicielem ETH i kilku innych kryptowalut.
Udostępnij ten artykuł
Haker Nexus Mutual o wartości 8 milionów dolarów mieszka w Singapurze, twierdzi zespół
Napastnik, który ukradł Hugh Karpowi NXM o wartości ponad 8 milionów dolarów, wypłacił znaczną część swojego majątku. Nexus Mutual zidentyfikował wiele wskazówek wskazujących…
136 mln USD utracone, gdy firma Cream Finance przeżywa kolejny atak na błyskawiczną pożyczkę
Zdecentralizowany protokół kredytowy Cream Finance został dotknięty poważnym atakiem na pożyczki błyskawiczne. Napastnik pożyczył od Aave 2 miliardy dolarów i uciekł z ponad 136 milionami dolarów…
Co to jest Crypto Airdrop: dlaczego projektuje Airdrop Crypto
Zrzuty kryptowalut pojawiają się, gdy nowe tokeny są swobodnie dystrybuowane do różnych portfeli w celu napędzania początkowego wzrostu i budowania społeczności. Reprezentują popularną taktykę marketingową, którą nowe projekty wykorzystują do rozpowszechniania…