Безопасность никогда не была сильной стороной браузерных криптокошельков для хранения биткойнов (BTC), эфира (ETH) и других криптовалют. Однако новое вредоносное ПО еще больше усложняет безопасность онлайн-кошельков, поскольку напрямую нацелено на криптовалютные кошельки, которые работают как расширения браузера, такие как MetaMask, Binance Chain Wallet или Coinbase Wallet.
По словам исследователя безопасности 3xp0rt, новая вредоносная программа, названная разработчиками Mars Stealer, представляет собой мощное обновление трояна Oski для кражи информации, выпущенного в 2019 году. Он нацелен на более чем 40 криптокошельков на основе браузера, а также на популярные расширения двухфакторной аутентификации (2FA) с функцией граббера, которая крадет закрытые ключи пользователей.
В качестве целевых кошельков указаны MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet и TronLink. Эксперт по безопасности отмечает, что вредоносное ПО может быть нацелено на расширения в браузерах на основе Chromium, кроме Opera. К сожалению, это означает, что некоторые из наиболее распространенных браузеров, такие как Google Chrome, Microsoft Edge и Brave, попали в список. Кроме того, несмотря на то, что они защищены от атак, связанных с расширениями, Firefox и Opera также уязвимы для перехвата учетных данных.
Mars Stealer может распространяться через различные каналы, такие как файлообменники, торрент-клиенты и любые другие подозрительные загрузчики. После заражения системы вредоносное ПО первым делом проверяет язык устройства. Если он совпадает с идентификатором языка Казахстана, Узбекистана, Азербайджана, Беларуси или России, программа покидает систему без каких-либо вредоносных действий.
Для остального мира вредоносное ПО нацелено на файл, который содержит конфиденциальную информацию, такую как адрес криптокошелька и закрытые ключи. Затем он покидает систему, удаляя любое присутствие после завершения кражи.
В настоящее время хакеры продают Mars Stealer за 140 долларов на форумах даркнета, а это означает, что барьер для доступа к трояну для злоумышленников относительно низок. Пользователей, которые хранят свои криптоактивы в кошельках на основе браузера или используют расширения браузера, такие как Authy, для использования 2FA, предупреждают, чтобы они были осторожны и не нажимали сомнительные ссылки или загрузки.
Источник