出现了一种新型恶意软件,它能够从众多钱包浏览器扩展中提取私钥。
我的第一篇关于 #Mars #偷窃者 出来了:https://t.co/vBWV3cGH0U
— 3xp0rt (@3xp0rtblog) 2022 年 2 月 1 日
Chromium 浏览器风险最大
据安全研究员 3xp0rt, Mars Stealer 是 Oski 木马的改进版本,于 2019 年首次出现。该恶意软件主要针对基于 Chromium 的浏览器,例如 Google Chrome、Microsoft Edge 和 Brave。
一旦其有效负载执行,Mars Stealer 就会尝试从流行的浏览器扩展钱包中提取私钥,包括 MetaMask、Binance 链钱包、TronLink 和 Coinbase 钱包。 此外,一些 2FA 应用程序存在凭据被盗的风险。 攻击后,恶意软件会将自己从受害者的计算机中删除,而不会留下任何痕迹。
俄罗斯黑客是最有可能的来源
有几个暗示火星窃取者起源于俄罗斯。 在执行其有效负载之前,恶意软件会检查受害者的语言 ID 是否与俄罗斯、白俄罗斯、哈萨克斯坦、阿塞拜疆或乌兹别克斯坦的语言 ID 匹配,如果找到匹配则终止。 这是因为俄罗斯通常只起诉针对俄罗斯公民的网络犯罪,而不起诉源自俄罗斯的针对其他国籍的网络犯罪。
此外,Mars Stealer 的开发者在暗网论坛上用俄语宣传该木马,售价为 140 美元。 上个月, Chainalysis 警告说,黑客正在使用大量复制的恶意软件类型(例如 Cryptojackers)向受害者勒索钱财。