Malware Mars Stealer : Ce qu’il faut savoir

| Lecture : 6 min
Malware Mars Stealer

Les non-custodial wallets en ligne sont des moyens populaires de stocker des cryptomonnaies. Ils sont faciles à utiliser et à connecter à différentes dApps. Ils offrent une grande liberté dans l’univers des cryptos. Cependant, il existe aussi des risques de sécurité liés aux extensions de wallets comme MetaMask, Binance Chain Wallet et Keplr. Mars Stealer est un malware spécialement conçu pour voler des private keys, des adresses de wallets et même des données 2FA provenant de non-custodial wallets basés sur navigateur.

À retenir

  • Mars Stealer est une évolution du trojan Oski (2019) et vise spécifiquement le vol de private keys, de données de wallets et d’informations 2FA dans les extensions de navigateur.

  • Le malware est vendu à bas prix sur le dark web, ce qui le rend facilement accessible aux cybercriminels du monde entier.

  • Mars Stealer se propage via des emails de phishing, des sites malveillants et des torrents, se faisant souvent passer pour un logiciel légitime ou un fichier .exe téléchargeable.

  • Le programme effectue des vérifications pour éviter la détection, s’arrête en cas de paramètres système suspects et supprime ses traces pour rester invisible.

  • Ses cibles incluent des wallets et plugins 2FA populaires, parmi lesquels MetaMask, Keplr, Binance Chain Wallet, Jaxx Liberty, Coinbase Wallet et Authy.

Qu’est-ce que Mars Stealer ?

Mars Stealer est un malware qui vole des informations précieuses depuis des wallets externes comme MetaMask et Keplr. Cela inclut des private keys qui donnent accès à l’ensemble de vos cryptos. Le logiciel peut être acheté sur le dark web pour environ 140 dollars, ce qui le rend facilement accessible aux cybercriminels du monde entier. Pour les victimes, l’impact peut être énorme : si votre wallet est infecté, vous pourriez vous connecter et constater un solde vide. Le cauchemar ultime pour de nombreux HODLers.

Comment fonctionne le malware Mars Stealer ?

Mars Stealer ressemble au départ à un logiciel légitime, mais il arrive généralement via un email de phishing. Une fois installé, le malware analyse vos profils de navigateur et vos extensions à la recherche de données de wallets et de private keys. Ces informations sont ensuite transmises à l’attaquant, qui supprime toute trace, laissant comme seul signe une wallet vide.

Le processus de Mars Stealer

Le cybercriminel vous envoie un email avec une pièce jointe ou un lien de téléchargement. Lors de son exécution, Mars Stealer commence par effectuer des vérifications simples pour déterminer s’il s’exécute sur un ordinateur normal ou dans un environnement d’analyse. Il vérifie notamment la langue du système et recherche des indices d’exécution dans une machine virtuelle (VM) ou sous un débogueur. S’il détecte des paramètres de langue ou d’autres signaux correspondant à certains pays d’origine (par exemple, d’anciens États soviétiques) ou à des environnements d’analyse/forensiques, il s’arrête immédiatement et s’autosupprime. Ce comportement réduit la probabilité que des chercheurs en sécurité puissent analyser le code et augmente les chances que le malware infecte des victimes ailleurs.

Si Mars Stealer poursuit son action, il commence à scanner. Le logiciel cible spécifiquement les profils de navigateur et les dossiers d’extensions pour y rechercher des données de wallets, des private keys et des informations 2FA. Ces données sont collectées, chiffrées et transmises à un serveur C2. Enfin, le processus supprime les fichiers temporaires et les traces, ce qui fait que les victimes ne découvrent souvent le vol que lorsque leur wallet est déjà vide.

Cibles de Mars Stealer

Mars Stealer s’attaque à presque tous les wallets logiciels connus, notamment : TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaxx Liberty, BitApp Wallet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, Neoline, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox, Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay et Coin98 Wallet.

Il vise également les plugins 2FA, dont : Authenticator, Authy, EOS Authenticator, GAuth Authenticator et Trezor Password Manager.

Comment est né le malware Mars Stealer ?

Mars Stealer est le successeur du trojan Oski de 2019. Alors qu’Oski volait principalement des données personnelles, Mars Stealer cible directement les navigateurs et leurs extensions.

Qu’est-ce qui rend Mars Stealer dangereux ?

Mars Stealer est dangereux car il peut agir sans être détecté. Les victimes s’aperçoivent souvent de l’attaque uniquement lorsque leur wallet est vide ou qu’elles n’ont plus accès à leur compte. De plus, le logiciel est en constante évolution et diffusé sous de nouvelles variantes, ce qui complique sa détection et maintient la menace à un niveau élevé.

Comment se propage le malware Mars Stealer ?

Le malware Mars Stealer se propage par des emails de phishing, des sites de téléchargement malveillants et des torrents. Il est souvent présenté comme un fichier .exe téléchargeable, déguisé en film ou en package logiciel.

Comment se protéger contre Mars Stealer ?

Heureusement, vous avez une grande influence sur le fait de devenir ou non victime du malware Mars Stealer. Pour utiliser les cryptos en toute sécurité, il convient de respecter quelques règles de base :

  • Téléchargez uniquement des logiciels depuis des sources officielles et légales.

  • Soyez attentif aux emails et liens suspects en lesquels vous n’avez pas entièrement confiance.

  • Évitez les torrents et autres méthodes de téléchargement douteuses sur les appareils où vous utilisez des wallets.

  • Utilisez un hardware wallet pour des montants plus importants. Ils conservent vos private keys hors ligne et hors de portée des malwares.

  • Maintenez votre système d’exploitation et votre navigateur à jour et supprimez les extensions inutilisées.

  • Contrôlez régulièrement l’activité de vos wallets et révoquez les autorisations non utilisées.

Que faire si votre appareil est infecté par le malware Mars Stealer ?

Si vous découvrez que vous êtes victime de Mars Stealer, il est crucial d’agir rapidement. Déconnectez immédiatement l’appareil infecté du réseau et vérifiez vos wallets pour toute transaction suspecte. Créez de nouvelles adresses de wallets et transférez-y vos cryptos. En définitive, une réinstallation complète du système d’exploitation est la manière la plus sûre d’éliminer définitivement le malware.

En résumé

Mars Stealer constitue une menace sérieuse pour tous ceux qui utilisent des non-custodial wallets et des extensions de navigateur. Le malware est peu coûteux, facile à propager et difficile à détecter. Les victimes peuvent perdre l’intégralité de leurs cryptos en très peu de temps, souvent sans même s’en rendre compte immédiatement.

Heureusement, le risque peut être considérablement réduit en appliquant des mesures de base, telles que télécharger des logiciels uniquement depuis des sources officielles, rester attentif aux tentatives de phishing, utiliser des hardware wallets et maintenir les systèmes à jour. Pour les acteurs du monde crypto, la prévention est la clé. Une seule infection peut entraîner des dommages irréversibles.

A propos de Finst

Finst est l'une des principales plateformes de cryptomonnaies aux Pays-Bas et offre des services d'investissement de premier ordre avec des standards de sécurité institutionnels et frais de trading ultra-bas. Finst est dirigé par d’anciens collaborateurs senior de DEGIRO et est autorisé en tant que prestataire de services sur crypto-actifs par l’Autorité des Marchés Financiers (AFM) néerlandaise. Finst offre une solution crypto complète incluant des services trading, custody, fiat on/off ramp et staking pour les investisseurs particuliers et institutionnels.

La plateforme de crypto que vous allez adorer

Nous vous donnons les outils, l'inspiration et l'assistance nécessaires pour devenir un meilleur investisseur.

Inscription
Trustpilot