关键精华
- Mars Stealer 是其前身 Oski Stealer 的改进版。
- 该恶意软件使用特殊技术从加密浏览器扩展、钱包和 2FA 的内存中收集信息。
- 凭据盗窃恶意软件仍然是网络攻击中最流行的恶意软件类型之一。
分享此文章
被称为“Mars Stealer”的 Oski Stealer 恶意软件(于 2019 年 XNUMX 月首次推出)的改进副本已经出现,能够从流行的浏览器扩展中窃取加密货币。
一个轻量级的恶意程序
Mars Stealer 是一个只有 95KB 大小的轻量级恶意程序,但它所代表的安全问题却不小。
Mars Stealer 使用自定义抓取器从命令和控制基础设施中检索其配置,然后继续定位应用程序数据 来自流行的网络浏览器、双重身份验证插件以及多种加密货币扩展和钱包。
木马恶意软件于 2021 年夏季开始在俄语黑客论坛上传播,并能够通过可疑的下载渠道(例如,非官方和免费的文件托管网站、torrent 客户端等点对点共享网络以及其他第三方下载器)。
在 Mars Stealer 能够利用的最受欢迎的加密货币浏览器插件列表中,有 MetaMask、Binance Chain Wallet、Nifty Wallet、Coinbase Wallet 和 Guarda。 它还能够利用 Bitcoin Core、Electrum、Exodus、Atomic、Binance、Coinomi。
Authy 和 GAuth Authenticator 等双因素身份验证应用程序以及 Brave、Opera 和 Firefox 等 Web 浏览器也容易成为 Mars Stealer 的目标。
该恶意软件的一个特别有趣的功能是 它检查用户是否位于历史上属于独立国家联合体的国家。 如果设备的语言 ID 与俄罗斯、白俄罗斯、哈萨克斯坦、阿塞拜疆、乌兹别克斯坦和哈萨克斯坦相匹配,则程序将退出而不执行任何恶意行为。
总之,这种形式的恶意软件可能会给受害者带来多重头痛,包括系统感染、隐私问题、经济损失和身份盗用。 可以在此阅读恶意软件的详细技术分析 刊物 by 研究员 @3xp0rt.
披露:在撰写本文时,此功能的作者拥有ETH和其他几种加密货币。