Malware Mars Stealer: Cosa devi sapere

| 6 min di lettura
Malware Mars Stealer

I non-custodial wallet online sono un modo molto diffuso per conservare crypto. Sono facili da usare e da collegare a diverse dApp. Ti danno un sacco di libertà nel mondo cripto. Però ci sono anche rischi di sicurezza con le estensioni dei wallet, come MetaMask, Binance Chain Wallet e Keplr. Mars Stealer è un malware creato apposta per rubare private key, indirizzi di wallet e perfino dati 2FA dai non-custodial wallet basati su browser.

In breve

  • Mars Stealer è un’evoluzione del trojan Oski (2019) e punta in modo specifico a rubare private key, dati dei wallet e info 2FA dalle estensioni del browser.

  • Questo malware viene venduto a poco prezzo sul dark web, quindi è facilmente accessibile ai cybercriminali di tutto il mondo.

  • Mars Stealer si diffonde tramite email di phishing, siti truffaldini e torrent, spesso spacciandosi per software legittimo o un file .exe da scaricare.

  • Il programma fa dei controlli per non farsi beccare, si chiude da solo se trova impostazioni sospette e cancella le tracce per non essere scoperto.

  • I bersagli sono wallet e plugin 2FA molto usati, come MetaMask, Keplr, Binance Chain Wallet, Jaxx Liberty, Coinbase Wallet e Authy.

Che cos’è Mars Stealer?

Mars Stealer è un malware che ruba informazioni preziose dai wallet esterni come MetaMask e Keplr. Parliamo delle private key che danno accesso a tutte le tue crypto. Il software si può comprare sul dark web per circa 140 dollari. Così i criminali informatici in tutto il mondo ci possono mettere facilmente le mani. Per le vittime, le conseguenze possono essere enormi: se il tuo wallet viene infettato, potresti fare login e trovarti il saldo a zero. L’incubo peggiore per tanti HODLer.

Come funziona il malware Mars Stealer?

Mars Stealer sembra software legittimo, ma in realtà arriva spesso tramite un’email di phishing. Una volta installato, il malware analizza i profili del tuo browser e le estensioni per trovare dati di wallet e private key. Queste informazioni vengono poi mandate all’attaccante, che cancella tutto lasciandoti solo con un indizio: il wallet vuoto.

Il processo di Mars Stealer

Il cybercriminale ti manda un’email con un allegato o un link di download. All’avvio, Mars Stealer fa prima dei controlli per capire se gira su un computer normale o in un ambiente di analisi. Controlla la lingua del sistema e cerca segnali di macchine virtuali (VM) o debugger. Se trova lingue o segnali tipici di certi paesi (tipo alcuni ex stati sovietici) o ambienti di analisi, si chiude subito e si cancella. Così diminuisce la possibilità che i ricercatori lo analizzino e aumenta quella di colpire vittime altrove.

Se Mars Stealer continua, parte la scansione. Il software controlla i profili del browser e le cartelle delle estensioni cercando dati di wallet, private key e info 2FA. Questi dati vengono raccolti e inviati in forma criptata a un server C2. Alla fine, il processo cancella i file temporanei e le tracce, quindi le vittime spesso se ne accorgono solo quando il wallet è già stato svuotato.

Obiettivi di Mars Stealer

Mars Stealer prende di mira praticamente tutti i wallet software conosciuti, tra cui: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaxx Liberty, BitApp Wallet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, Neoline, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox, Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay e Coin98 Wallet.

Si concentra anche su plugin 2FA, come: Authenticator, Authy, EOS Authenticator, GAuth Authenticator e Trezor Password Manager.

Da dove viene il malware Mars Stealer?

Mars Stealer è il successore del trojan Oski del 2019. Mentre Oski rubava soprattutto dati personali, Mars Stealer punta direttamente a browser ed estensioni.

Cosa rende Mars Stealer pericoloso?

Mars Stealer è pericoloso perché può agire senza farsi notare. Le vittime spesso se ne accorgono solo quando il wallet è vuoto o non riescono più ad accedere al loro account. In più, il malware viene costantemente aggiornato e distribuito in nuove varianti, quindi resta difficile da individuare e molto pericoloso.

Come si diffonde il malware Mars Stealer?

Mars Stealer si diffonde tramite email di phishing, siti di download truffaldini e torrent. Di solito si presenta come un file .exe da scaricare, camuffato da film o pacchetto software.

Come proteggersi da Mars Stealer?

Per fortuna, puoi fare molto per evitare di diventare vittima di Mars Stealer. Se vuoi gestire le tue crypto in sicurezza, segui alcune regole base:

  • Scarica software solo da fonti ufficiali e legali.

  • Fai attenzione a email e link sospetti che non ti ispirano fiducia.

  • Evita torrent e download loschi sui dispositivi dove usi i wallet.

  • Usa un hardware wallet per somme più grandi. Tiene le tue private key offline e fuori dalla portata del malware.

  • Tieni aggiornati sistema operativo e browser ed elimina le estensioni che non usi.

  • Controlla regolarmente le attività del tuo wallet e revoca i permessi che non ti servono.

Cosa fare se il tuo dispositivo è infettato dal malware Mars Stealer?

Se scopri di essere stato colpito da Mars Stealer, devi agire subito. Disconnetti il dispositivo infetto dalla rete e controlla i tuoi wallet per eventuali transazioni sospette. Crea nuovi indirizzi wallet e spostaci le tue crypto. Alla fine, la soluzione più sicura per eliminare il malware è reinstallare completamente il sistema operativo.

In conclusione

Mars Stealer è una minaccia seria per chiunque usi non-custodial wallet ed estensioni del browser. Il malware è economico da reperire, facile da diffondere e difficile da rilevare. Le vittime possono perdere tutte le loro crypto in pochissimo tempo, spesso senza nemmeno accorgersene subito.

La buona notizia: puoi ridurre di molto il rischio seguendo alcune misure base, come scaricare software solo da fonti ufficiali, stare attento al phishing, usare hardware wallet e mantenere aggiornati i sistemi. Per chi è attivo nel mondo cripto vale una regola: prevenire è fondamentale. Una sola infezione può significare danni irreversibili.

Chi è Finst

Finst è uno dei principali fornitori di criptovalute nei Paesi Bassi e offre una piattaforma di investimento di alto livello insieme a standard di sicurezza di livello istituzionale e commissioni di trading ultra basse. Finst è guidata dall'ex team principale di DEGIRO ed è autorizzata come prestatore di servizi per le cripto-attività dall'Autorità olandese per i mercati finanziari (AFM). Finst offre un set completo di servizi per le cripto-attività, inclusi trading, custodia, on/off ramp fiat e staking sia per investitori retail che istituzionali.

La piattaforma cripto che amerai

Siamo qui per darti strumenti, ispirazione e supporto per diventare un investitore migliore.

Registrati
Trustpilot