Ключавыя вынас
- Mars Stealer - гэта палепшаная копія свайго папярэдніка, Oski Stealer.
- Шкоднасная праграма выкарыстоўвае спецыяльныя метады для збору інфармацыі з памяці пашырэнняў крыпта-браўзэра, кашалькоў і 2FA.
- Шкоднасныя праграмы для крадзяжу ўліковых дадзеных па-ранейшаму застаюцца адным з найбольш распаўсюджаных тыпаў шкоднасных праграм, якія выкарыстоўваюцца ў кібератаках.
Адправіць гэтую артыкул
Палепшаная копія шкоднаснай праграмы Oski Stealer (упершыню прадстаўленая ў лістападзе 2019 года), вядомай як «Mars Stealer», з'явілася ў дзікай прыродзе і здольная красці крыпта з папулярных пашырэнняў браўзэра.
Лёгкая, шкоднасная праграма
Mars Stealer - гэта лёгкая шкоднасная праграма памерам усяго 95 КБ, але праблема бяспекі, якую яна прадстаўляе, не з'яўляецца дробным.
Mars Stealer выкарыстоўвае карыстальніцкі граббер для атрымання сваёй канфігурацыі з інфраструктуры каманднага і кіруючага кіравання, а затым пераходзіць да мэтавых даных прыкладанняў з папулярных вэб-браўзераў, убудоў для двухфакторнай аўтэнтыфікацыі і некалькіх пашырэнняў і кашалькоў для криптовалюты.
Траянская шкоднасная праграма пачала распаўсюджвацца на рускамоўных хакерскіх форумах летам 2021 года і здольная заражаць сістэмы праз сумнеўныя каналы загрузкі (напрыклад, неафіцыйныя і бясплатныя файлы хостынгу, аднарангавыя сеткі абмену, такія як торэнт-кліенты, і іншыя староннія загрузнікі).
Сярод найбольш папулярных убудоў для браўзэра криптовалюты, якімі можа карыстацца Mars Stealer, з'яўляюцца MetaMask, Binance Chain Wallet, Nifty Wallet, Coinbase Wallet і Guarda. Ён таксама здольны выкарыстоўваць Bitcoin Core, Electrum, Exodus, Atomic, Binance, Coinomi.
Прыкладанні для двухфакторнай аўтэнтыфікацыі, такія як Authy і GAuth Authenticator, а таксама вэб-браўзеры, такія як Brave, Opera і Firefox, таксама могуць стаць мішэнню Mars Stealer.
Адной асабліва цікавай асаблівасцю гэтага шкоднаснага праграмнага забеспячэння з'яўляецца тое, што ён правярае, ці знаходзіцца карыстальнік у краіне, якая гістарычна з'яўляецца часткай Садружнасці Незалежных Дзяржаў. Калі ідэнтыфікатар мовы прылады супадае з Расіяй, Беларуссю, Казахстанам, Азербайджанам, Узбекістанам і Казахстанам, праграма завершыцца без шкоднасных дзеянняў.
Такім чынам, гэтая форма шкоднаснага праграмнага забеспячэння можа выклікаць мноства галаўных боляў сваім ахвярам, у тым ліку сістэмныя заражэння, праблемы з канфідэнцыяльнасцю, фінансавыя страты і крадзеж асабістых дадзеных. Падрабязны тэхнічны аналіз шкоднаснага ПА можна прачытаць тут публікацыя by даследчык @3xp0rt.
Раскрыццё інфармацыі: На момант напісання артыкула аўтару гэтай функцыі належала ETH і некалькі іншых крыптавалют.
Адправіць гэтую артыкул
Кампанія Nexus Mutual Hacker на 8 мільёнаў долараў жыве ў Сінгапуры
Зламыснік, які выкраў у Х'ю Карпа NXM на суму больш за 8 мільёнаў долараў, абналічваў значную частку свайго снаку. Nexus Mutual выявіў шмат падказак, якія паказваюць...
Страчана 136 мільёнаў долараў, бо Cream Finance пацярпела ад чарговай атакі флэш-пазыкі
Пратакол дэцэнтралізаванага крэдытавання Cream Finance пацярпеў ад буйной атакі па выдачы крэдытаў. Зламыснік пазычыў 2 мільярды долараў у Aave і атрымаў больш за 136 мільёнаў долараў...
Што такое Crypto Airdrop: Чаму праекты Airdrop Crypto
Crypto airdrops адбываюцца, калі новыя токены свабодна распаўсюджваюцца на розныя кашалькі, каб стымуляваць першапачатковы рост і ствараць супольнасць. Яны ўяўляюць сабой папулярную маркетынгавую тактыку, якую новыя праекты выкарыстоўваюць для распаўсюджвання...