Bezpieczeństwo nigdy nie było mocną stroną opartych na przeglądarce portfeli kryptograficznych do przechowywania Bitcoin (BTC), Ether (ETH) i innych kryptowalut. Jednak nowe złośliwe oprogramowanie jeszcze bardziej komplikuje bezpieczeństwo portfeli online, atakując bezpośrednio portfele kryptograficzne, które działają jako rozszerzenia przeglądarki, takie jak MetaMask, Binance Chain Wallet lub Coinbase Wallet.
Według badacza bezpieczeństwa 3xp0rt, nazwane przez twórców Mars Stealer, nowe złośliwe oprogramowanie jest potężnym ulepszeniem kradnącego informacje trojana Oski z 2019 roku. Jest skierowany do ponad 40 portfeli kryptograficznych opartych na przeglądarce, wraz z popularnymi rozszerzeniami uwierzytelniania dwuskładnikowego (2FA) z funkcją grabbera, która kradnie klucze prywatne użytkowników.
Nasze najlepsze roboty biznesowe
MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet i TronLink są wymienione jako niektóre z docelowych portfeli. Ekspert ds. bezpieczeństwa zauważa, że złośliwe oprogramowanie może atakować rozszerzenia w przeglądarkach opartych na Chromium, z wyjątkiem Opery. Niestety oznacza to, że niektóre z najpopularniejszych przeglądarek, takie jak Google Chrome, Microsoft Edge i Brave, znalazły się na liście. Ponadto, chociaż są one bezpieczne przed atakami specyficznymi dla rozszerzeń, Firefox i Opera są również podatne na przejmowanie poświadczeń.
Związane z:„Mniej wyrafinowane” złośliwe oprogramowanie kradnie miliony: Chainalysis
Mars Stealer może być rozpowszechniany różnymi kanałami, takimi jak witryny hostujące pliki, klienci torrent i inne podejrzane programy do pobierania. Po zainfekowaniu systemu pierwszą rzeczą, jaką robi złośliwe oprogramowanie, jest sprawdzenie języka urządzenia. Jeśli pasuje do identyfikatora języka Kazachstanu, Uzbekistanu, Azerbejdżanu, Białorusi lub Rosji, oprogramowanie opuszcza system bez żadnych złośliwych działań.
W pozostałych częściach świata złośliwe oprogramowanie atakuje plik, który zawiera poufne informacje, takie jak dane adresowe portfeli kryptograficznych i klucze prywatne. Następnie opuszcza system, usuwając wszelką obecność po zakończeniu kradzieży.
Hakerzy sprzedają obecnie Mars Stealer za 140 USD na forach dark web, co oznacza, że bariera dostępu do trojana jest stosunkowo niska dla złośliwych podmiotów. Użytkownicy, którzy przechowują swoje zasoby kryptograficzne w portfelach opartych na przeglądarce lub używają rozszerzeń przeglądarki, takich jak Authy, do korzystania z funkcji 2FA, są ostrzegani, aby zachować ostrożność przed klikaniem podejrzanych linków lub pobrań.
Przeczytaj więcej o Cointelegraph