Một phần mềm độc hại mới, được gọi là “Mars Stealer”, đang nhắm mục tiêu vào các ví tiền điện tử hoạt động dưới dạng tiện ích mở rộng của trình duyệt để ăn cắp coin do người dùng lưu trữ.
Theo nhà nghiên cứu bảo mật 3xp0rt, Mars Stealer là một bản nâng cấp cao cấp của Trojan Oski 2019 và có thể cướp tiền điện tử được lưu trữ trong ví của mọi người bằng cách tấn công các tiện ích mở rộng trình duyệt của ví.
Phần mềm độc hại mới đang tấn công ví tiền điện tử hoạt động trên trình duyệt
Theo 3xp0rt, Mars Stealer là phần mềm độc hại mạnh mẽ tấn công hơn 40 ví dựa trên trình duyệt bằng cách điều hướng cẩn thận qua các tính năng bảo mật của ví, chẳng hạn như xác thực hai yếu tố với sự trợ giúp của chức năng chiếm đoạt để lấy cắp khóa cá nhân trong ví của người dùng.
Bài đăng trên blog chính thức cho biết:
“Mars Stealer được viết bằng ASM/C sử dụng WinApi, trọng lượng là 95 kb. Sử dụng các kỹ thuật đặc biệt để ẩn lệnh WinApi, mã hóa chuỗi, thu thập thông tin trong bộ nhớ, hỗ trợ kết nối SSL bảo mật với C&C, không sử dụng CRT, STD”.
Mars Stealer có thể dễ dàng xâm nhập tiện ích mở rộng liên quan đến tiền điện tử, bao gồm các ví phổ biến như MetaMask, ví Nifty, ví Coinbase, ví Binance Chain và Tron Link. 3xp0rt cũng báo cáo rằng phần mềm độc hại nhắm mục tiêu các tiện ích mở rộng dựa trên Chromium ngoại trừ Opera.
Mars Stealer cũng có thể trích xuất thông tin có giá trị liên quan đến mô hình bộ xử lý, tên máy tính, ID máy, GUID, phần mềm đã cài đặt và các phiên bản của chúng, tên người dùng và tên miền máy tính.
Một tính năng thú vị khác của phần mềm độc hại này là Mars Stealer thực hiện kiểm tra trước quốc gia xuất xứ của người dùng để xem người dùng có thuộc khối thịnh vượng chung gồm các quốc gia độc lập hay không. Nếu ID của người dùng thuộc các quốc gia như Nga, Kazakhstan, Belarus, Azerbaijan và Uzbekistan, chương trình sẽ không thực hiện bất kỳ hoạt động tiêu cực nào và thoát khỏi ứng dụng.
Mars Stealer được biết là đã xâm nhập vào các tiện ích mở rộng của ví bằng cách lây lan qua nhiều kênh, bao gồm các trang web lưu trữ tệp, ứng dụng khách torrent và các trang web đáng ngờ. Sau khi xâm nhập vào tiện ích mở rộng ví tiền điện tử, malware sau đó sẽ thực hiện hành vi trộm cắp bằng cách phá hoại khóa cá nhân và các tính năng bảo mật của ví, sau đó thoát khỏi tiện ích mở rộng khi đã xóa mọi dấu vết trộm cắp có thể nhìn thấy.
Bảo mật ví tiền điện tử thường là một chủ đề được thảo luận sôi nổi vì nhiều vụ lừa đảo và báo cáo trộm cắp phổ biến đã diễn ra trong không gian. Báo cáo về việc phần mềm độc hại mới đang lan rộng nhanh chóng cũng được đưa ra nhằm cảnh báo các nhà đầu tư nên thận trọng và chú ý hơn khi lưu trữ tiền điện tử trong các tiện ích mở rộng ví dựa trên trình duyệt.
