Intrebari cu cheie
- Mars Stealer este o copie îmbunătățită a predecesorului său, Oski Stealer.
- Malware-ul folosește tehnici speciale pentru a colecta informații din memoria extensiilor de browser cripto, portofele și 2FA.
- Malware pentru furtul de acreditări continuă să fie unul dintre cele mai răspândite tipuri de malware utilizate în atacurile cibernetice.
Distribuiți acest articol
O copie îmbunătățită a programului malware Oski Stealer (introdus pentru prima dată în noiembrie 2019) cunoscută sub numele de „Mars Stealer” a apărut în sălbăticie și este capabilă să fure criptografii din extensiile populare de browser.
Un program ușor, rău intenționat
Mars Stealer este un program rău intenționat ușor, cu o dimensiune de doar 95 KB, dar problema de securitate pe care o reprezintă nu este mică.
Mars Stealer folosește un grabber personalizat pentru a-și prelua configurația din infrastructura de comandă și control și apoi continuă să țintească datele aplicației de la browsere web populare, pluginuri de autentificare cu doi factori și mai multe extensii și portofele pentru criptomonede.
Malware-ul troian a început să circule pe forumurile de hacking vorbitoare de limbă rusă în vara anului 2021 și este capabil să infecteze sistemele prin canale de descărcare dubioase (de exemplu, site-uri web neoficiale și gratuite de găzduire de fișiere, rețele de partajare peer-to-peer, cum ar fi clienții torrent și alte programe de descărcare terță parte).
Printre cele mai populare liste de pluginuri de browser pentru criptomonede pe care Mars Stealer le poate exploata sunt MetaMask, Binance Chain Wallet, Nifty Wallet, Coinbase Wallet și Guarda. De asemenea, este capabil să exploateze Bitcoin Core, Electrum, Exodus, Atomic, Binance, Coinomi.
Aplicațiile de autentificare cu doi factori, cum ar fi Authy și GAuth Authenticator, precum și browserele web precum Brave, Opera și Firefox, sunt, de asemenea, susceptibile de a fi vizate de Mars Stealer.
O caracteristică deosebit de interesantă a acestui software rău intenționat este aceea acesta verifică dacă un utilizator are sediul într-o țară care face parte istoric din Comunitatea Statelor Independente. Dacă ID-ul de limbă al dispozitivului se potrivește cu Rusia, Belarus, Kazahstan, Azerbaidjan, Uzbekistan și Kazahstan, programul se va închide fără a efectua niciun comportament rău intenționat.
Pe scurt, această formă de malware poate cauza multiple dureri de cap victimelor sale, inclusiv infecții ale sistemului, probleme de confidențialitate, pierderi financiare și furt de identitate. O analiză tehnică detaliată a malware-ului poate fi citită aici publicare by cercetător @3xp0rt.
Dezvăluire: la momentul scrierii, autorul acestei funcții deținea ETH și alte câteva criptomonede.
Distribuiți acest articol
Hackerul Nexus Mutual de 8 milioane de dolari locuiește în Singapore, spune echipa
Atacatorul care a furat NXM în valoare de peste 8 milioane de dolari de la Hugh Karp a încasat o parte semnificativă din depozitul său. Nexus Mutual a identificat multe indicii care indică...
Pierduți 136 de milioane de dolari, deoarece Finanța Cremă suferă un alt atac de împrumut rapid
Protocolul de împrumut descentralizat Cream Finance a fost lovit de un atac major de împrumut rapid. Atacatorul a împrumutat 2 miliarde de dolari de la Aave și a scăpat cu peste 136 de milioane de dolari din...
Ce este un Crypto Airdrop: de ce proiectează Airdrop Crypto
Airdrop-urile Crypto apar atunci când noile jetoane sunt distribuite în mod liber către diferite portofele pentru a stimula creșterea inițială și a construi o comunitate. Ele reprezintă o tactică de marketing populară pe care noile proiecte o folosesc pentru a răspândi ...