Известный исследователь безопасности 3xp0rt предупреждает о появлении новой вредоносной программы, которая конкретно нацелена на криптовалютные кошельки, которые работают как расширения браузера. Например, MetaMask, Binance Chain Wallet, Nifty Wallet или Coinbase Wallet.
Новая программа названа Mars Stealer и, по видимому, разработана русскоязычными хакерами. Она представляет собой улучшенное обновление трояна Oski для кражи информации, выпущенного в 2019 году. Mars Stealer призвана взламывать кошельки-расширения, а также популярные расширения двухфакторной аутентификации (2FA).
Программа может распространяться через различные каналы, такие как файлообменники, торрент-клиенты и любые другие подозрительные загрузчики. Этому ПО подходят браузеры Opera, Google Chrome, Microsoft Edge, Firefox, Brave и многие другие.
После заражения, вредоносное ПО первым делом проверяет язык устройства. Если язык является русским или некоторых стран СНГ, то вирус покидает систему не предпринимая никаких действий. В остальных случаях вирус начинает поиск файлов, содержащих конфиденциальную информацию, такую как адреса криптокошельков и приватные ключи. Также Mars Stealer крадет другие данные с компьютера, включая пароли и куки. Собрав то, что нужно, он передает данные хакерам, а удаляется, подчищая все следы своего присутствия.
В настоящее время хакеры продают Mars Stealer на форумах даркнета всего за $140 — это означает, что любой может купить вирус и распространять его где угодно.
Эксперты предупреждают пользователей, которые хранят криптовалюты в кошельках на основе браузера или используют расширения браузера для авторизации, такие как Authy или Trezor Password Manager, не нажимать на сомнительные ссылки и не скачивать непроверенные программы.