Złośliwe oprogramowanie Mars Stealer atakuje portfele kryptowalutowe obsługiwane z poziomu przeglądarek internetowych.
Jak donosi 3xp0rt, Mars Stealer jest zaawansowaną aktualizacją trojana Oski z 2019 roku i może doprowadzić do utraty aktywów cyfrowych przechowywanych w portfelach użytkowników sparowanych z przeglądarkami internetowymi.
My first blog post about #Mars #Stealer is out:https://t.co/vBWV3cGH0U
— 3xp0rt (@3xp0rtblog) February 1, 2022
Nowe złośliwe oprogramowanie atakuje portfele oparte na przeglądarkach internetowych
Według 3xp0rt, Mars Stealer to złośliwe oprogramowanie, które jest w stanie zaatakować ponad 40 portfeli opartych na przeglądarce, nawigując po funkcjach bezpieczeństwa portfela, takich jak uwierzytelnianie dwuskładnikowe za pomocą funkcji grabber, która kradnie klucze prywatne portfela użytkownika.
W oficjalnym komunikacie na blogu 3xp0rt czytamy:
„Mars Stealer napisany w ASM/C z wykorzystaniem WinApi, waga to 95 kb. Używa specjalnych technik do ukrywania wywołań WinApi, szyfruje stringi, zbiera informacje w pamięci, obsługuje bezpieczne połączenie SSL z C&C, nie używa CRT, STD.”
Mars Stealer może z łatwością zagrozić rozszerzeniom kryptowalutowym, w tym popularnym portfelom, takim jak MetaMask, Nifty wallet, Coinbase wallet, Binance Chain Wallet i Tron Link.
Mars Stealer może również wydobywać cenne informacje dotyczące modelu procesora, nazwy komputera, identyfikatora maszyny, identyfikatora GUID, zainstalowanego oprogramowania i jego wersji, nazwy użytkownika i nazwy domeny komputera.
Inną cechą Mars Stealer jest to, że przeprowadza wstępne sprawdzenie kraju pochodzenia użytkownika. Jeśli identyfikator użytkownika pochodzi z krajów takich jak Rosja, Kazachstan, Białoruś, Azerbejdżan i Uzbekistan, program nie wykona żadnych negatywnych działań i zamknie aplikację.
Mars Stealer jest znany z tego, że atakuje rozszerzenia portfeli, rozprzestrzeniając się wieloma kanałami, w tym witrynami hostującymi pliki, klientami torrentowymi i podejrzanymi witrynami. W związku z tym zaleca się unikanie kontaktu i jakichkolwiek wywołań z tego typu źródeł. Po wejściu do rozszerzenia portfela kryptowalutowego malware dokonuje kradzieży, sabotując klucze i funkcje bezpieczeństwa portfela, a następnie opuszcza rozszerzenie po usunięciu wszelkich widocznych śladów kradzieży.
Bezpieczeństwo portfela kryptowalut jest gorącym tematem do dyskusji, ponieważ w domenie aktywów cyfrowych miało miejsce wiele oszustw i kradzieży. Raport 3xp0rt o szerzącym się nowym złośliwym oprogramowaniu został opublikowany w celu ostrzeżenia inwestorów, aby zachowali szczególną ostrożność podczas przechowywania kryptowalut w rozszerzeniach portfelowych opartych na przeglądarce.
Przydatne linki + info, jak usuwać zagrożenie:
- https://www.bleepingcomputer.com/news/security/powerful-new-oski-variant-mars-stealer-grabbing-2fas-and-crypto/
- https://www.coindesk.com/video/recent-videos/how-you-can-prevent-mars-stealer-malware-from-stealing-away-your-crypto/
- https://www.pcrisk.com/removal-guides/21505-mars-stealer