Η ασφάλεια δεν ήταν ποτέ το δυνατό σημείο των πορτοφολιών που βασίζονται σε προγράμματα περιήγησης για την αποθήκευση Bitcoin ( BTC ), Ether ( ETH ) και άλλων κρυπτονομισμάτων. Ωστόσο, το νέο κακόβουλο λογισμικό καθιστά την ασφάλεια των διαδικτυακών πορτοφολιών ακόμη πιο περίπλοκη στοχεύοντας απευθείας τα πορτοφόλια που λειτουργούν ως επεκτάσεις προγράμματος περιήγησης όπως το MetaMask, το Binance Chain Wallet ή το Coinbase Wallet.
Ονομάστηκε Mars Stealer από τους προγραμματιστές του και το νέο κακόβουλο λογισμικό είναι μια ισχυρή αναβάθμιση του Oski trojan του 2019 που κλέβει πληροφορίες, σύμφωνα με τον ερευνητή ασφαλείας 3xp0rt. Στοχεύει σε περισσότερα από 40 πορτοφόλια κρυπτονομισμάτων που βασίζονται σε προγράμματα περιήγησης, μαζί με δημοφιλείς επεκτάσεις ελέγχου ταυτότητας δύο παραγόντων (2FA),και με τη λειτουργία grabber κλέβει τα ιδιωτικά κλειδιά των χρηστών.
Τα MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet και TronLink αναφέρονται ως μερικά από τα ήδη στοχευμένα πορτοφόλια. Ο ειδικός ασφαλείας σημειώνει ότι το κακόβουλο λογισμικό μπορεί να στοχεύσει επεκτάσεις σε Chromium-based προγράμματα περιήγησης εκτός από το Opera. Δυστυχώς, αυτό σημαίνει ότι μερικά από τα πιο κοινά προγράμματα περιήγησης όπως το Google Chrome, το Microsoft Edge και το Brave μπήκαν στη λίστα. Επίσης, ενώ είναι ασφαλή από επιθέσεις σε συγκεκριμένες επεκτάσεις, ο Firefox και ο Opera είναι επίσης ευάλωτοι σε credential-hijacking..
Το Mars Stealer μπορεί να διαδοθεί μέσω διαφόρων καναλιών, όπως ιστοσελίδες φιλοξενίας αρχείων, torrent clients και οποιοδήποτε άλλο πρόγραμμα λήψης αρχείων. Αφού μολύνει ένα σύστημα, το πρώτο πράγμα που κάνει το κακόβουλο λογισμικό είναι να ελέγξει τη γλώσσα της συσκευής. Εάν ταιριάζει με το ID γλώσσας του Καζακστάν, του Ουζμπεκιστάν, του Αζερμπαϊτζάν, της Λευκορωσίας ή της Ρωσίας, το λογισμικό αποχωρεί από το σύστημα χωρίς κακόβουλη ενέργεια.
Για τον υπόλοιπο κόσμο, το κακόβουλο λογισμικό στοχεύει ένα αρχείο που περιέχει ευαίσθητες πληροφορίες, όπως πληροφορίες διεύθυνσης πορτοφολιών και ιδιωτικά κλειδιά. Στη συνέχεια φεύγει από το σύστημα διαγράφοντας οποιαδήποτε παρουσία μόλις ολοκληρωθεί η κλοπή.
Οι χάκερ πωλούν αυτήν τη στιγμή το Mars Stealer για 140 δολάρια στο dark web, πράγμα που σημαίνει ότι το entry barrier στο trojan είναι σχετικά χαμηλό για κακόβουλους χρήστες. Οι χρήστες που διατηρούν τα κρυτονομίσματά τους σε πορτοφόλια που βασίζονται σε προγράμματα περιήγησης ή χρησιμοποιούν επεκτάσεις προγράμματος περιήγησης όπως το Authy για 2FA, προειδοποιούνται να είναι προσεκτικοί ώστε να μην κάνουν κλικ σε αμφίβολους συνδέσμους ή λήψεις.