Malware Mars Stealer: Lo que necesitas saber

| 6 min de lectura
Mars Stealer Malware

Los non-custodial wallets en línea son un medio popular para almacenar criptomonedas. Son fáciles de usar y de conectar con distintas dApps. Te ofrecen mucha libertad en el ecosistema cripto. Sin embargo, también existen riesgos de seguridad asociados a las extensiones de wallet, como MetaMask, Binance Chain Wallet y Keplr. Mars Stealer es un malware desarrollado específicamente para robar private keys, direcciones de wallet e incluso datos de 2FA de non-custodial wallets basadas en navegador.

Puntos clave

  • Mars Stealer es una evolución del troyano Oski (2019) y se enfoca específicamente en robar private keys, datos de wallets e información de 2FA de extensiones de navegador.

  • El malware se ofrece a bajo costo en la dark web, lo que lo hace fácilmente accesible para ciberdelincuentes en todo el mundo.

  • Mars Stealer se propaga mediante correos de phishing, sitios maliciosos y torrents, haciéndose pasar a menudo por software legítimo o un archivo .exe descargable.

  • El programa realiza verificaciones para evitar ser detectado, se detiene ante configuraciones sospechosas del sistema y elimina rastros para impedir su descubrimiento.

  • Sus objetivos incluyen wallets y plugins de 2FA populares, entre ellos MetaMask, Keplr, Binance Chain Wallet, Jaxx Liberty, Coinbase Wallet y Authy.

¿Qué es Mars Stealer?

Mars Stealer es un malware que roba información valiosa de wallets externas como MetaMask y Keplr. Hablamos de private keys que dan acceso a todos tus criptoactivos. El software puede adquirirse en la dark web por unos 140 dólares, lo que facilita que ciberdelincuentes de todo el mundo lo consigan. Para las víctimas, el impacto puede ser enorme: si tu wallet se infecta, puedes iniciar sesión y encontrarte con un saldo vacío. La pesadilla definitiva para muchos HODLers.

¿Cómo funciona el malware Mars Stealer?

Mars Stealer se presenta inicialmente como software legítimo, pero suele llegar a través de un correo de phishing. Una vez instalado, el malware examina tus perfiles de navegador y extensiones en busca de datos de wallets y private keys. Esta información se envía al atacante, que elimina todos los rastros, de modo que lo único que ves es una wallet vacía.

El proceso de Mars Stealer

El ciberdelincuente te envía un correo con un archivo adjunto o un enlace de descarga. Al ejecutarse, Mars Stealer realiza primero comprobaciones simples para determinar si se ejecuta en un equipo de usuario normal o en un entorno de análisis. Revisa la configuración del idioma del sistema y busca señales de ejecución en una máquina virtual (VM) o bajo un depurador. Si detecta configuraciones de idioma o indicios vinculados a ciertos países de origen (por ejemplo, algunos ex estados soviéticos) o a entornos forenses/de análisis, se detiene de inmediato y se elimina. Este comportamiento reduce la posibilidad de que investigadores de seguridad analicen el código y aumenta las probabilidades de que el malware actúe sin obstáculos en otras regiones.

Si Mars Stealer continúa con su plan, empieza a escanear. El software revisa de manera dirigida los perfiles de navegador y las carpetas de extensiones en busca de datos de wallet, private keys e información de 2FA. Esta información se recopila y se envía cifrada a un servidor C2. Finalmente, el proceso elimina archivos temporales y rastros, lo que provoca que las víctimas solo se den cuenta cuando su wallet ya está vacía.

Objetivos de Mars Stealer

Mars Stealer se dirige prácticamente a todos los wallets de software conocidos, entre ellos: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaxx Liberty, BitApp Wallet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, Neoline, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox, Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay y Coin98 Wallet.

También se dirige a plugins de 2FA, como: Authenticator, Authy, EOS Authenticator, GAuth Authenticator y Trezor Password Manager.

¿Cómo surgió el malware Mars Stealer?

Mars Stealer es el sucesor del troyano Oski de 2019. Mientras que Oski robaba principalmente datos personales, Mars Stealer se centra directamente en navegadores y extensiones.

¿Qué hace que Mars Stealer sea peligroso?

Mars Stealer resulta peligroso porque puede actuar sin ser detectado, de manera que las víctimas suelen darse cuenta solo cuando su wallet está vacía o cuando ya no tienen acceso a su cuenta. Además, el malware se desarrolla y distribuye continuamente en nuevas variantes, lo que complica su detección y mantiene alta la amenaza.

¿Cómo se propaga el malware Mars Stealer?

El malware Mars Stealer se propaga a través de correos de phishing, sitios de descarga maliciosos y torrents. Suele presentarse como un archivo .exe descargable, disfrazado de película o paquete de software.

¿Cómo protegerse contra Mars Stealer?

Afortunadamente, puedes hacer mucho para evitar convertirte en víctima de Mars Stealer. Si deseas manejar criptomonedas con seguridad, sigue estas reglas básicas:

  • Descarga software únicamente de fuentes oficiales y legales.

  • Ten cuidado con correos electrónicos y enlaces sospechosos que no te resulten totalmente confiables.

  • Evita torrents y otros métodos de descarga dudosos en dispositivos donde utilices wallets.

  • Utiliza un hardware wallet para montos más elevados. Mantienen tus private keys fuera de línea y fuera del alcance del malware.

  • Mantén tu sistema operativo y navegador actualizados y elimina extensiones que no utilices.

  • Revisa con frecuencia la actividad de tu wallet y revoca permisos no utilizados.

¿Qué hacer si tu dispositivo está infectado con el malware Mars Stealer?

Si descubres que eres víctima de Mars Stealer, es crucial actuar con rapidez. Desconecta inmediatamente el dispositivo infectado de la red y revisa tus wallets en busca de transacciones sospechosas. Crea nuevas direcciones de wallet y transfiere allí tus criptomonedas. Finalmente, una reinstalación completa del sistema operativo es la manera más segura de eliminar definitivamente el malware.

Reflexión final

Mars Stealer representa una seria amenaza para cualquiera que utilice non-custodial wallets y extensiones de navegador. El malware es barato, fácil de propagar y difícil de detectar. Las víctimas pueden perder todas sus criptomonedas en muy poco tiempo, a menudo sin darse cuenta de inmediato.

Por suerte, el riesgo puede reducirse considerablemente si se siguen medidas básicas, como descargar software únicamente de fuentes oficiales, estar atentos a intentos de phishing, usar hardware wallets y mantener los sistemas actualizados. Para quienes participan en el mundo cripto, la prevención es la clave. Una sola infección puede significar un daño irreversible.

Acerca de Finst

Finst es uno de los principales proveedores de criptomonedas en los Países Bajos y ofrece una plataforma de inversión de primera clase junto con estándares de seguridad de nivel institucional y tarifas de transacción ultra bajas. Finst está liderado por el antiguo equipo central de DEGIRO y está autorizado como proveedor de servicios de criptoactivos por la Autoridad Neerlandesa para los Mercados Financieros (AFM). Finst ofrece una gama completa de servicios cripto, incluyendo trading, custodia, pasarela fiat, y staking, tanto para inversores particulares como institucionales.

La criptoplataforma que le encantará

Estamos aquí para darle las herramientas, la inspiración y el apoyo que necesita para convertirse en un mejor inversor.

Abrir cuenta gratis
Trustpilot