Redakcja VETOMEDIA
Złośliwe oprogramowanie atakuje przeglądarki
Użytkownicy zostali ostrzeżeni przed nowym złośliwym oprogramowaniem zaprojektowanym w celu kradzieży kryptowalut z portfeli będącymi rozszerzeniami przeglądarki, takich jak MetaMask czy Coinbase Wallet.
Bezpieczeństwo nigdy nie było mocną stroną opartych na rozszerzeniach do przeglądarki portfeli kryptowalutowych, a nowe zagrożenie jeszcze bardziej komplikuje tę kwestię.
Według badacza bezpieczeństwa 3xp0rt, nowe złośliwe oprogramowanie zwane „Mars Stealer” jest potężną aktualizacją trojana „Oski”. Celem jest ponad 40 opartych na rozszerzeniu do przeglądarki portfeli kryptowalutowych, wraz z popularnymi rozszerzeniami uwierzytelniania dwuskładnikowego (2FA). Funkcja grabber kradnie klucze prywatne użytkowników.
MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet i TronLink są wymienione jako niektóre z docelowych portfeli. Ekspert ds. bezpieczeństwa zauważa, że złośliwe oprogramowanie może atakować rozszerzenia w przeglądarkach opartych na Chromium, z wyjątkiem Opery. Niestety, oznacza to, że niektóre z najbardziej popularnych przeglądarek, takich jak Google Chrome, Microsoft Edge czy Brave znalazły się na liście. Firefox i Opera, choć są bezpieczne od ataków ukierunkowanych na rozszerzenia, są niestety podatne na atak wykradający dane uwierzytelniające.
Mars Stealer może być rozprzestrzeniany za pośrednictwem różnych kanałów, takich jak strony internetowe z hostingiem plików czy podejrzane programy do pobierania. Po zainfekowaniu systemu pierwszą rzeczą, jaką robi złośliwe oprogramowanie, jest sprawdzenie języka urządzenia. Jeśli odpowiada on identyfikatorowi języka Kazachstanu, Uzbekistanu, Azerbejdżanu, Białorusi lub Rosji, oprogramowanie opuszcza system bez żadnych szkodliwych działań.
W przypadku reszty świata, złośliwe oprogramowanie celuje w plik, który przechowuje poufne informacje, takie jak adresy portfeli kryptowalutowych i klucze prywatne. Następnie opuszcza system, usuwając wszelką obecność po zakończeniu kradzieży.
Hakerzy sprzedają obecnie Mars Stealer za 140 dolarów na forach dark web, co oznacza, że bariera dostępu do trojana jest stosunkowo niska. Użytkownicy, którzy przechowują swoje kryptowaluty w portfelach opartych na przeglądarce lub używają rozszerzeń przeglądarki, takich jak Authy, są ostrzegani, aby zachować szczególną ostrożność.
