A segurança nunca foi o ponto forte das carteiras de criptomoedas baseadas em navegadores para armazenar Bitcoin (BTC), Ether (ETH) e outras criptomoedas. No entanto, o novo malware torna a segurança das carteiras online ainda mais complicada, visando diretamente as carteiras de criptomoedas que funcionam a partir de extensões do navegador, como MetaMask, Binance Chain Wallet ou Coinbase Wallet.

Chamado de Mars Stealer por seus desenvolvedores, o novo malware é uma atualização poderosa do trojan Oski, de 2019, que visa roubar informações sensíveis, segundo o pesquisador de segurança 3xp0rt. Ele tem como alvo mais de 40 carteiras de criptomoedas baseadas em navegador, juntamente com extensões populares de autenticação de dois fatores (2FA), com uma função de captura que rouba as chaves privadas dos usuários.

As carteiras MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet e TronLink estão listadas como alguns dos alvos dos hackers. O especialista em segurança observa que o malware pode atingir extensões em navegadores baseados em Chromium, com exceção do Opera. Infelizmente, isso significa que alguns dos navegadores mais comuns, como Google Chrome, Microsoft Edge e Brave, chegaram à lista. Além disso, embora estejam protegidos contra ataques específicos de extensão, o Firefox e o Opera também são vulneráveis ​​ao roubo de dados de acesso.

O Mars Stealer pode ser espalhado por vários canais, como sites de hospedagem de arquivos, clientes de torrent e qualquer outro downloader. Depois de infectar um sistema, a primeira coisa que o malware faz é verificar o idioma do dispositivo. Se corresponder ao ID do idioma do Cazaquistão, Uzbequistão, Azerbaijão, Bielorrússia ou Rússia, o software sai do sistema sem nenhuma ação maliciosa.

Para o resto do mundo, o malware tem como alvo um arquivo que contém informações confidenciais, como informações de endereço de carteiras cripto e chaves privadas. Em seguida, ele sai do sistema excluindo qualquer presença assim que o roubo for concluído.

Os hackers estão atualmente vendendo o Mars Stealer por US$ 140 em fóruns da dark web, o que significa que a barreira para acessar o trojan é relativamente baixa para atores mal-intencionados. Os usuários que mantêm seus ativos criptográficos em carteiras baseadas em navegador ou usam extensões de navegador como Authy para utilizar 2FA são avisados ​​para serem cautelosos ao clicar em links ou downloads duvidosos.

LEIA MAIS