Faits marquants
- Mars Stealer est une copie améliorée de son prédécesseur, l'Oski Stealer.
- Le logiciel malveillant utilise des techniques spéciales pour collecter des informations à partir de la mémoire des extensions de navigateur crypto, des portefeuilles et des 2FA.
- Les logiciels malveillants de vol d'informations d'identification continuent d'être l'un des types de logiciels malveillants les plus répandus utilisés dans les cyberattaques.
Partagez cet article
Une copie améliorée du logiciel malveillant Oski Stealer (introduit pour la première fois en novembre 2019) connue sous le nom de "Mars Stealer" est apparue dans la nature et est capable de voler la crypto des extensions de navigateur populaires.
Un programme léger et malveillant
Mars Stealer est un programme malveillant léger de seulement 95 Ko, mais le problème de sécurité qu'il représente n'est pas négligeable.
Mars Stealer utilise un grabber personnalisé pour récupérer sa configuration à partir de l'infrastructure de commande et de contrôle, puis procède aux données d'application cible à partir de navigateurs Web populaires, de plugins d'authentification à deux facteurs et de plusieurs extensions et portefeuilles de crypto-monnaie.
Le malware cheval de Troie a commencé à circuler sur les forums de piratage russophones à l'été 2021 et est capable d'infecter les systèmes via des canaux de téléchargement douteux (par exemple, des sites Web d'hébergement de fichiers non officiels et gratuits, des réseaux de partage peer-to-peer tels que des clients torrent, et autres téléchargeurs tiers).
Parmi la liste la plus populaire de plug-ins de navigateur de crypto-monnaie que Mars Stealer est capable d'exploiter figurent MetaMask, Binance Chain Wallet, Nifty Wallet, Coinbase Wallet et Guarda. Il est également capable d'exploiter Bitcoin Core, Electrum, Exodus, Atomic, Binance, Coinomi.
Les applications d'authentification à deux facteurs telles que Authy et GAuth Authenticator, ainsi que les navigateurs Web tels que Brave, Opera et Firefox, sont également susceptibles d'être ciblés par Mars Stealer.
Une caractéristique particulièrement intéressante de ce logiciel malveillant est que il vérifie si un utilisateur est basé dans un pays qui fait historiquement partie de la Communauté des États indépendants. Si l'ID de langue de l'appareil correspond à la Russie, la Biélorussie, le Kazakhstan, l'Azerbaïdjan, l'Ouzbékistan et le Kazakhstan, le programme se fermera sans effectuer de comportement malveillant.
En résumé, cette forme de logiciel malveillant peut causer de multiples maux de tête à ses victimes, notamment des infections du système, des problèmes de confidentialité, des pertes financières et le vol d'identité. Une analyse technique détaillée du malware peut être lue dans ce publication by chercheur @3xp0rt.
Divulgation: Au moment de la rédaction de cet article, l'auteur de cette fonctionnalité possédait ETH et plusieurs autres crypto-monnaies.
Partagez cet article
8 millions de dollars Nexus Mutual Hacker vit à Singapour, selon l'équipe
L'attaquant qui a volé plus de 8 millions de dollars de NXM à Hugh Karp a encaissé une partie importante de sa réserve. Nexus Mutual a identifié de nombreux indices pointant…
136 millions de dollars perdus alors que Cream Finance subit une autre attaque de prêt éclair
Protocole de prêt décentralisé Cream Finance a été touchée par une importante attaque de prêt flash. L'agresseur a emprunté 2 milliards de dollars à Aave et s'est enfui avec plus de 136 millions de dollars de…
Qu'est-ce qu'un Airdrop Crypto: Pourquoi les projets Airdrop Crypto
Les largages cryptographiques se produisent lorsque de nouveaux jetons sont distribués librement à différents portefeuilles afin de stimuler la croissance initiale et de créer une communauté. Ils représentent une tactique de marketing populaire que les nouveaux projets utilisent pour se propager…