امنیت هرگز مناسب کیف پول های رمزنگاری مبتنی بر مرورگر برای ذخیره بیت کوین ( BTC )، اتر ( ETH ) و سایر ارزهای دیجیتال نبود. با این حال، بدافزار جدید با هدف قرار دادن مستقیم کیف پول های رمزنگاری که به عنوان پسوند مرورگر مانند MetaMask، کیف پول بایننس چین یا کیف پول کوین بیس کار می کنند، ایمنی کیف پول های آنلاین را پیچیده تر می کند.
به گفته محقق امنیتی 3xp0rt ، این بدافزار جدید که توسط توسعه دهندگان Mars Stealer نامگذاری شده است، یک ارتقاء قدرتمند در تروجان سرقت اطلاعات Oski در سال 2019 است. بیش از 40 کیف پول رمزنگاری مبتنی بر مرورگر را به همراه پسوندهای محبوب احراز هویت دو مرحله ای (2FA) با عملکرد grabber که کلیدهای خصوصی کاربران را می دزدد، هدف قرار می دهد.
MetaMask، Nifty Wallet، Coinbase Wallet، MEW CX، Ronin Wallet، Binance Chain Wallet و TronLink به عنوان کیف پول های مورد نظر فهرست شده اند. این کارشناس امنیتی خاطرنشان می کند که این بدافزار می تواند افزونه های مرورگرهای مبتنی بر Chromium را به جز Opera هدف قرار دهد. متأسفانه، این بدان معناست که برخی از رایج ترین مرورگرها مانند Google Chrome، Microsoft Edge و Brave به لیست راه یافته اند. فایرفاکس و اپرا همچنین در حالی که از حملات ویژه برنامه های افزودنی در امان هستند، در برابر سرقت اعتبار نیز آسیب پذیر هستند.
Mars Stealer میتواند از طریق کانالهای مختلفی مانند وبسایتهای میزبان فایل، مشتریان تورنت و هر دانلودکننده سایهای دیگر منتشر شود. پس از آلوده کردن یک سیستم، اولین کاری که بدافزار انجام می دهد، بررسی زبان دستگاه است. اگر با شناسه زبان قزاقستان، ازبکستان، آذربایجان، بلاروس یا روسیه مطابقت داشته باشد، نرم افزار بدون هیچ گونه اقدام مخرب سیستم را ترک می کند.
در سایر نقاط جهان، این بدافزار فایلی را هدف قرار می دهد که اطلاعات حساسی مانند اطلاعات آدرس کیف پول های دیجیتال و کلیدهای خصوصی را در خود نگه می دارد. سپس با حذف هرگونه حضور پس از اتمام سرقت، سیستم را ترک می کند.
هکرها در حال حاضر Mars Stealer را به قیمت 140 دلار در انجمن های وب تاریک می فروشند، به این معنی که مانع دسترسی به تروجان برای بازیگران مخرب نسبتا کم است. به کاربرانی که داراییهای رمزنگاری خود را در کیف پولهای مبتنی بر مرورگر نگهداری میکنند یا از افزونههای مرورگر مانند Authy برای استفاده از 2FA استفاده میکنند، هشدار داده میشود که در برابر کلیک کردن روی پیوندها یا دانلودهای مشکوک محتاط باشند