Key Takeaways
- Mars Stealer is een verbeterde kopie van zijn voorganger, de Oski Stealer.
- De malware gebruikt speciale technieken om informatie te verzamelen uit het geheugen van crypto-browserextensies, wallets en 2FA's.
- Malware voor diefstal van inloggegevens blijft een van de meest voorkomende soorten malware die bij cyberaanvallen worden gebruikt.
deel dit artikel
Een verbeterde kopie van de Oski Stealer-malware (voor het eerst geïntroduceerd in november 2019), bekend als "Mars Stealer", is in het wild verschenen en kan crypto van populaire browserextensies stelen.
Een lichtgewicht, kwaadaardig programma
Mars Stealer is een lichtgewicht, kwaadaardig programma van slechts 95 KB groot, maar het beveiligingsprobleem dat het vertegenwoordigt is geen kleinigheid.
Mars Stealer gebruikt een aangepaste grabber om de configuratie op te halen uit de command and control-infrastructuur en gaat vervolgens verder met het targeten van applicatiegegevens van populaire webbrowsers, plug-ins voor tweefactorauthenticatie en meerdere cryptocurrency-extensies en -portefeuilles.
De Trojaanse malware begon in de zomer van 2021 te circuleren op Russisch sprekende hackforums en kan systemen infecteren via dubieuze downloadkanalen (bijv. onofficiële en gratis websites voor het hosten van bestanden, peer-to-peer-deelnetwerken zoals torrent-clients, en andere externe downloaders).
Onder de meest populaire lijst met plug-ins voor cryptocurrency-browsers die Mars Stealer kan exploiteren, zijn MetaMask, Binance Chain Wallet, Nifty Wallet, Coinbase Wallet en Guarda. Het is ook in staat om Bitcoin Core, Electrum, Exodus, Atomic, Binance, Coinomi te exploiteren.
Twee-factor-authenticatie-applicaties zoals Authy en GAuth Authenticator, evenals webbrowsers zoals Brave, Opera en Firefox, zijn ook vatbaar voor doelwit van de Mars Stealer.
Een bijzonder interessant kenmerk van deze kwaadaardige software is dat: het controleert of een gebruiker is gevestigd in een land dat historisch gezien deel uitmaakt van het Gemenebest van Onafhankelijke Staten. Als de taal-ID van het apparaat overeenkomt met Rusland, Wit-Rusland, Kazachstan, Azerbeidzjan, Oezbekistan en Kazachstan, wordt het programma afgesloten zonder kwaadaardig gedrag uit te voeren.
Samengevat kan deze vorm van malware de slachtoffers meerdere hoofdpijn bezorgen, waaronder systeeminfecties, privacyschendingen, financiële verliezen en identiteitsdiefstal. Een gedetailleerde technische analyse van de malware is hierin te lezen uitgave by onderzoeker @3xp0rt.
Openbaarmaking: op het moment van schrijven was de auteur van deze functie eigenaar van ETH en verschillende andere cryptocurrencies.
deel dit artikel
$ 8 miljoen Nexus Mutual Hacker woont in Singapore, zegt Team
De aanvaller die voor meer dan $ 8 miljoen aan NXM van Hugh Karp heeft gestolen, heeft een aanzienlijk deel van zijn voorraad verzilverd. Nexus Mutual heeft veel aanwijzingen gevonden die wijzen op...
$ 136 miljoen verloren omdat Cream Finance opnieuw te maken krijgt met een aanval op een flitslening
Gedecentraliseerd leenprotocol Cream Finance is getroffen door een grote aanval op flitsleningen. De aanvaller leende $ 2 miljard van Aave en ging er vandoor met meer dan $ 136 miljoen aan ...
Wat is een Crypto Airdrop: waarom projecten Airdrop Crypto
Crypto-airdrops vinden plaats wanneer nieuwe tokens vrijelijk worden gedistribueerd naar verschillende portefeuilles om de initiële groei te stimuleren en een gemeenschap op te bouwen. Ze vertegenwoordigen een populaire marketingtactiek die nieuwe projecten gebruiken om…