לְהִזָהֵר! תוכנת זדונית חדשה "Mars Stealer" יכולה לגנוב את הקריפטו שלך

לדברי חוקר אבטחה 3xp0rt, Mars stealer הוא שדרוג מתקדם של הטרויאני Oski 2019 והוא יכול לבזוז מטבעות קריפטוגרפיים המאוחסנים בארנקים של אנשים על ידי תקיפת הרחבות הדפדפן של הארנקים. 

תוכנה זדונית חדשה תוקפת ארנקי קריפטו מבוססי דפדפן 

לפי 3xp0rt, Mars Stealer הוא חזק תוכנות זדוניות שתוקפת יותר מ-40 ארנקים מבוססי דפדפן על ידי ניווט קפדני בין תכונות האבטחה של הארנק כגון אימות דו-גורמי בעזרת פונקציית תפס הגונב מפתחות פרטיים מארנק המשתמש. 

בפוסט הרשמי בבלוג נכתב:

"Mars Stealer כתוב ב-ASM/C עם שימוש ב-WinApi, המשקל הוא 95 kb. משתמש בטכניקות מיוחדות להסתרת שיחות WinApi, מצפין מחרוזות, אוסף מידע בזיכרון, תומך בחיבור SSL מאובטח עם C&C, אינו משתמש ב-CRT, STD." 

Mars Stealer יכול לסכן בקלות הרחבות קריפטו, כולל ארנקים פופולריים כגון MetaMask, Nifty wallet, Coinbase wallet, Binance Chain Wallet ו-Tron Link. 3xp0rt גם מדווחת שהתוכנה הזדונית מכוונת להרחבות המבוססות על Chromium למעט Opera. 

Mars Stealer יכול גם לחלץ מידע רב ערך בנוגע לדגם המעבד, שם המחשב, מזהה המכונה, GUID, התוכנה המותקנת והגרסאות שלהן, שם המשתמש ושם המחשב של התחום. 

תכונה מעניינת נוספת של תוכנה זדונית זו היא שמרס סטיילר מבצעת בדיקה מוקדמת של ארץ המוצא של המשתמש כדי לבדוק האם המשתמש שייך למדינות חבר העמים. אם תעודת הזהות של משתמש שייכת למדינות כמו רוסיה, קזחסטן, בלארוס, אזרבייג'ן ואוזבקיסטן, התוכנית לא תבצע כל פעילות שלילית ותצא מהאפליקציה.

ידוע כי Mars Stealer פולש לתוספות של ארנקים על ידי התפשטות בערוצים רבים, כולל אתרי אירוח קבצים, לקוחות סיקור ואתרים מפוקפקים. ברגע שהוא נכנס לתוסף הארנק הקריפטו, התוכנה הזדונית מבצעת את הגניבה על ידי חבלה במפתחות האישיים ובתכונות האבטחה של הארנק, ומאוחר יותר יוצאת מהתוסף לאחר מחיקת עקבות גלויים של הגניבה.

אבטחת ארנק קריפטו הייתה לעתים קרובות נושא לוהט לדיון בהונאות מרובות ונפוצות גְנֵבָה דיווחים התרחשו בתחום המטבעות הקריפטוגרפיים. הדיווח על תוכנות זדוניות חדשות משתוללות מופק גם במטרה להזהיר את המשקיעים להיות זהירים ולהקדיש תשומת לב נוספת בזמן אחסון מטבעות קריפטוגרפיים בתוספי ארנק מבוססי דפדפן.