Безопасность никогда не была сильной стороной браузерных криптовалютных кошельков для хранения Биткоин (BTC), эфира (ETH) и других криптовалют. Тем не менее, новое вредоносное ПО еще больше усложняет безопасность онлайн-кошельков, поскольку напрямую нацелено на криптовалютные кошельки, которые работают как расширения браузера, такие как MetaMask, Binance Chain Wallet или Coinbase Wallet.
По словам исследователя безопасности 3xp0rt, новое вредоносное ПО, названное разработчиками Mars Stealer, представляет собой мощное обновление трояна Oski, похищающего информацию, выпущенного в 2019 году. Он нацелен на более чем 40 криптовалютных кошельков на основе браузера, а также на популярные расширения двухфакторной аутентификации (2FA) с функцией граббера, которая крадет закрытые ключи пользователей.
В качестве целевых кошельков указаны MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet и TronLink. Эксперт по безопасности отмечает, что вредоносное ПО может быть нацелено на расширения в браузерах на основе Chromium, кроме Opera. К сожалению, это означает, что некоторые из наиболее распространенных браузеров, такие как Google Chrome, Microsoft Edge и Brave, попали в список. Кроме того, несмотря на то, что они защищены от атак, связанных с расширениями, Firefox и Opera также уязвимы для перехвата учетных данных.
Связанный: «Менее сложное» вредоносное ПО крадет миллионы: Chainalysis
Mars Stealer может распространяться через различные каналы, такие как файлообменники, торрент-клиенты и любые другие подозрительные загрузчики. После заражения системы вредоносное ПО первым делом проверяет язык устройства. Если он совпадает с идентификатором языка Казахстана, Узбекистана, Азербайджана, Беларуси или России, программа покидает систему без каких-либо вредоносных действий.
Для остального мира вредоносное ПО нацелено на файл, который содержит конфиденциальную информацию, такую как адресная информация криптовалютных кошельков и закрытые ключи. Затем он покидает систему, удаляя любое присутствие после завершения кражи.
В настоящее время хакеры продают Mars Stealer за 140 долларов на форумах даркнета, а это означает, что барьер для доступа к трояну для злоумышленников относительно низок. Пользователей, которые хранят свои криптовалютные активы в кошельках на основе браузера или используют расширения браузера, такие как Authy, для использования 2FA, предупреждают, чтобы они были осторожны и не нажимали сомнительные ссылки или загрузки.
