La sicurezza non è mai stata il punto forte dei portafogli cripto basati su browser per memorizzare Bitcoin (BTC), Ether (ETH) e altre criptovalute. Tuttavia, un nuovo malware rende la sicurezza dei portafogli online ancora più complicata prendendo di mira direttamente i portafogli di criptovalute che funzionano come estensioni del browser come MetaMask, Binance Chain Wallet o Coinbase Wallet.
Chiamato Mars Stealer dai suoi sviluppatori, il nuovo malware è un potente aggiornamento del trojan Oski del 2019, secondo il ricercatore di sicurezza informatica 3xp0rt:
Prende di mira più di 40 portafogli crittografici basati su browser, insieme alle popolari estensioni di autenticazione a due fattori (2FA), con una funzione grabber che ruba le chiavi private degli utenti.
MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet e TronLink sono elencati come alcuni dei portafogli presi di mira. L’esperto di sicurezza nota che il malware attecchisce soprattutto le estensioni sui browser basati su Chromium, tranne Opera. Purtroppo, significa che alcuni dei browser più comuni come Google Chrome, Microsoft Edge e Brave sono entrati nella lista. Inoltre, mentre sono al sicuro da attacchi specifici per le estensioni, Firefox e Opera sono anche vulnerabili al credential-hijacking.
Mars Stealer può essere diffuso attraverso vari canali come siti web di file-hosting, client torrent e qualsiasi altro downloader losco.
Dopo aver infettato un sistema, la prima cosa che il malware fa è controllare la lingua del dispositivo. Se corrisponde all’ID della lingua di Kazakistan, Uzbekistan, Azerbaijan, Bielorussia o Russia, il software lascia il sistema senza alcuna azione dannosa.
Per il resto del mondo, il malware prende di mira un file che contiene informazioni sensibili come le informazioni sull’indirizzo dei portafogli crittografici e le chiavi private. Poi lascia il sistema cancellando qualsiasi presenza una volta che il furto è completo.
Gli hacker stanno attualmente vendendo Mars Stealer per 140 dollari sui forum del dark web, il che significa che la barriera per accedere al trojan è relativamente bassa per gli attori malintenzionati.
