Ключові винесення
- Mars Stealer є покращеною копією свого попередника, Oski Stealer.
- Шкідливе програмне забезпечення використовує спеціальні методи для збору інформації з пам’яті розширень криптобраузера, гаманців і 2FA.
- Зловмисне програмне забезпечення для крадіжки облікових даних продовжує залишатися одним із найпоширеніших типів зловмисного програмного забезпечення, яке використовується в кібератаках.
Поділитися цією статтею
Покращена копія шкідливого програмного забезпечення Oski Stealer (вперше представлена в листопаді 2019 року), відомого як “Mars Stealer”, з’явилася в дикій природі і здатна красти криптовалюту з популярних розширень браузера.
Легка, шкідлива програма
Mars Stealer — це легка шкідлива програма розміром всього 95 КБ, але проблема безпеки, яку вона представляє, не є дрібницей.
Mars Stealer використовує спеціальний граббер, щоб отримати свою конфігурацію з інфраструктури командування та керування, а потім переходить до цільових даних програми з популярних веб-браузерів, плагінів двофакторної аутентифікації, а також кількох криптовалютних розширень і гаманців.
Троянське зловмисне програмне забезпечення почало поширюватися на російськомовних хакерських форумах влітку 2021 року і здатне заражати системи через сумнівні канали завантаження (наприклад, неофіційні та безкоштовні веб-сайти для розміщення файлів, однорангові мережі, такі як торрент-клієнти та інші сторонні завантажувачі).
Серед найпопулярніших плагінів для браузера криптовалюти, які може використовувати Mars Stealer, є MetaMask, Binance Chain Wallet, Nifty Wallet, Coinbase Wallet і Guarda. Він також може використовувати Bitcoin Core, Electrum, Exodus, Atomic, Binance, Coinomi.
Програми двофакторної аутентифікації, такі як Authy і GAuth Authenticator, а також веб-браузери, такі як Brave, Opera і Firefox, також схильні до нападу Mars Stealer.
Однією особливо цікавою особливістю цього шкідливого програмного забезпечення є те він перевіряє, чи перебуває користувач у країні, яка історично є частиною Співдружності Незалежних Держав. Якщо ідентифікатор мови пристрою збігається з Росією, Білорусією, Казахстаном, Азербайджаном, Узбекистаном та Казахстаном, програма завершить роботу без зловмисної поведінки.
Підсумовуючи, ця форма зловмисного програмного забезпечення може спричинити численні головні болі своїм жертвам, включаючи зараження системи, проблеми з конфіденційністю, фінансові втрати та крадіжку особистих даних. Детальний технічний аналіз шкідливого програмного забезпечення можна прочитати тут публікація by дослідник @3xp0rt.
Розкриття інформації: На момент написання статті автор цієї функції володів ETH та кількома іншими криптовалютами.
Поділитися цією статтею
Взаємний хакер Nexus коштує 8 мільйонів доларів, проживає у Сінгапурі
Зловмисник, який вкрав у Х'ю Карпа NXM на суму понад 8 мільйонів доларів, витягнув значну частину свого схованку. Nexus Mutual виявив багато підказок, які вказують на…