Một phần mềm độc hại được gọi là “Mars Stealer” vừa xuất hiện, với đích đến là các ví điện tử của người dùng hoạt động như trình duyệt mở rộng, nhằm ăn cắp tiền được lưu trữ bởi người dùng.
Cụ thể, các nhà nghiên cứu bảo mật tại 3xport cho biết, Mars Stealer là một bản nâng cấp của Trojan Oski 2019 và có thể ăn cắp tiền điện tử lưu trữ trong ví của người dùng, bằng cách tấn công trình duyệt mở rộng của ví điện thoại.
Theo 3xpor, Mar Stealers là một phần mềm độc hại rất mạnh và có khả năng tấn công hơn 40 ví điện tử dựa trên trình duyệt, bằng cách điều hướng một cách khéo léo thông qua các tính năng bảo mật của ví điện tử, như là xác thực 2 yếu tố, sử dụng chức năng của nó để ăn cắp khóa cá nhân trong ví điện tử của người dùng.
Blog chính thức đã chia sẻ rằng:
“Mars Stealer được viết bằng ASM/C sử dụng WinAp, trọng lượng là 95 kb. Sử dụng các kỹ thuật đặc biệt để ẩn lệnh WinApi, mã hóa chuỗi, thu thập thông tin trong bộ nhớ, hỗ trợ kết nối SSL an toàn với C&C, không sử dụng CRT, STD”.
Mars Stealer có thể hack một cách dễ dàng các trình duyệt mở rộng liên quan đến tiền điện tử, bao gồm những ví nổi tiếng như MetaMask, Nifty Wallet, Coinbase Wallet, Binance Chain Wallet, và Tron Link.
3xport cũng thông tin thêm rằng, đích đến của phần mềm độc hại là các trình duyệt mươt rộng dựa trên Chromium, ngoại trừ Opera.
Mars Slealer cũng có thể trích xuất các thông tin giá trị liên quan đến mô hình bộ xử lý máy tính, tên máy tính, ID máy, GUID, phần mềm đã cài đặt và phiên bản của chúng, tên người dùng và miền máy tính.
Một tính năng thú vị khác của phần mềm độc hại này là Mars Stealer thực hiện một bước kiểm tra trước nguồn gốc của người dùng để xác định họ có ở trong cộng đồng của quốc gia độc lập hay không. Nếu ID của người dùng thuốc về các quốc gia như Nga, Kazakhstan, Belarus, Azerbaijan và Uzbekistan, chương trình sẽ không thực hiện bất kỳ hoạt động độc hại nào và sẽ đóng ứng dụng.
Mars Stealer được biết như kẻ xâm nhập trình duyệt mở rộng ví, lan rộng thông qua nhiều kênh khác nhau, bao gồm các trang lưu trữ file, khách hàng torrent và các trang khả nghi.
Sau khi đa xâm nhập vào các trình duyệt mở rộng ví điện tử, phần mềm độc hại sẽ đánh cắp tiền lưu trữ trong ví bằng cách phá hủy khóa riêng tư và các tính năng bảo mật, và sau khi vào bên trong ví điện tử, sẽ thoát trình duyệt mở rộng và xóa tất cả dấu vết có thể nhìn thấy được của hành vi ăn cắp.
