Mars Stealer Malware: Wat je moet weten

| 6 min leestijd
Mars Stealer Malware

Online non-custodial wallets zijn populaire middelen voor het opslaan van crypto. Ze zijn eenvoudig in gebruik en eenvoudig te koppelen aan verschillende dApps. Het geeft je veel vrijheid in het crypto-landschap. Er zitten echter ook veiligheidsrisico's verbonden aan wallet-extensies, zoals MetaMask, Binance Chain Wallet en Keplr. Mars Stealer is malware die speciaal is ontwikkeld om private keys, wallet-adressen en zelfs 2FA-gegevens te stelen van non-custodial wallets zoals browser wallets.

Korte samenvatting

  • Mars Stealer is een doorontwikkeling van de Oski-trojan (2019) en richt zich specifiek op het stelen van private keys, wallet-data en 2FA-informatie uit browser-extensies.

  • De malware wordt goedkoop aangeboden op het dark web, waardoor het wereldwijd eenvoudig toegankelijk is voor cybercriminelen.

  • Mars Stealer verspreidt zich via phishingmails, malafide sites en torrents en doet zich vaak voor als legitieme software of downloadbaar .exe-bestand.

  • Het programma voert checks uit om detectie te vermijden, stopt zichzelf bij verdachte systeeminstellingen, en verwijdert sporen om ontdekking te voorkomen.

  • Doelwitten zijn populaire wallets en 2FA-browserplugins, waaronder MetaMask, Keplr, Binance Chain Wallet, Jaxx Liberty, Coinbase Wallet en Authy.

Wat is Mars Stealer?

Mars Stealer is malware die zich richt op het stelen van waardevolle informatie van externe wallets, zoals MetaMask en Keplr. Denk aan het stelen van private keys die toegang geven tot al je crypto. De software is voor rond de $140 aan te schaffen op het dark web. Hierdoor is het voor cybercriminelen wereldwijd eenvoudig om aan de malware te komen. Voor slachtoffers kan de impact enorm zijn. Is je cryptowallet namelijk besmet met het virus, dan kan het zomaar zijn dat je inlogt en een lege balans ziet staan. De ultieme nachtmerrie voor veel HODL’ers.

Hoe werkt de Mars Stealer malware?

Mars Stealer werkt doordat het in eerste instantie lijkt op legitieme software die vaak binnenkomt via een phishingmail. In werkelijkheid is de software malware die na installatie belangrijke gegevens kan opsporen door het onderzoeken van je browserprofielen en extensies op walletgegevens en private keys. Deze informatie wordt vervolgens gestuurd naar de aanvaller die al zijn sporen opruimt, waardoor het lijkt alsof er niks is gebeurd. Wat je wel ziet, is een lege wallet.

Het proces van Mars Stealer

De cybercrimineel stuurt je een mail met daarin een bijlage of een downloadlink. Bij opstart voert Mars Stealer eerst een aantal eenvoudige checks uit om te bepalen of het op een ‘gewone’ gebruikersmachine draait of in een analyseomgeving. Het controleert onder meer de ingestelde systeemtaal en zoekt naar aanwijzingen dat het in een virtuele machine (VM) of onder een debugger wordt uitgevoerd. Ontdekt de malware taalinstellingen of andere signalen die overeenkomen met landen van herkomst (bijvoorbeeld bepaalde voormalige Sovjet-staten) of met forensische/analysis-omgevingen, dan stopt het vaak meteen en verwijdert zichzelf. Dit gedrag reduceert de kans dat securityonderzoekers of lokale opsporingsdiensten de code analyseren en vergroot tegelijk de kans dat de malware ongestoord slachtoffers buiten die regio’s treft.

Mocht Mars Stealer zijn plan doorzetten, dan begint het scanproces. De software scant gericht browserprofielen en extensiemappen op wallet-data, private keys en 2FA-informatie. Deze informatie wordt verzameld en versleuteld doorgestuurd naar een C2-server. Tot slot ruimt het proces tijdelijke bestanden en sporen op, waardoor slachtoffers vaak pas merken dat ze zijn beroofd wanneer hun wallet leeg is.

Doelwitten van Mars Stealer

Mars Stealer richt zich op eigenlijk alle bekende software wallets, waaronder: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaxx Liberty, BitApp Wallet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, Neoline, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox, Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay en Coin98 Wallet.

Ook richt Mars Stealer zich op 2FA-browserplugins, waaronder: Authenticator, Authy, EOS Authenticator, GAuth Authenticator en Trezor Password Manager.

Hoe is de Mars Stealer malware ontstaan?

De Mars Stealer is een opvolger van de Oski-trojan uit 2019. Waar Oski vooral persoonlijke gegevens stal, richt Mars Stealer zich direct op browsers en extensies.

Wat maakt Mars Stealer gevaarlijk?

Mars Stealer is gevaarlijk omdat het onopgemerkt zijn kwade werk kan doen, waardoor slachtoffers vaak pas in de gaten hebben dat ze doelwit zijn nadat hun wallet leeg is of dat ze geen toegang meer hebben tot hun account. Bovendien wordt de software voortdurend doorontwikkeld en in nieuwe varianten verspreid, waardoor detectie lastig blijft en de dreiging groot.

Hoe verspreidt Mars Stealer malware zich?

Mars Stealer malware wordt verspreid via phishingmails, malafide downloadsites en torrents. Vaak wordt het gedeeld als een downloadbaar .exe-bestand, vaak vermomd als onderdeel van een film of softwarepakket.

Hoe kun je jezelf beschermen tegen de Mars Stealer?

Gelukkig heb je zelf grote invloed of je slachtoffer wordt van Mars Stealer malware. Er is namelijk genoeg wat je kunt doen om te voorkomen dat je device besmet raakt met de malware. Wie veilig met crypto wil omgaan, doet er goed aan zich te houden aan een aantal basisregels:

  • Download software uitsluitend van officiële en legale bronnen.

  • Wees alert op verdachte e-mails en links die je niet volledig vertrouwt.

  • Vermijd torrents en andere dubieuze downloadmethodes op apparaten waarop je wallets gebruikt.

  • Gebruik een hardware-wallet voor grotere bedragen. Die houden je private keys offline en buiten bereik van malware.

  • Houd je besturingssysteem en browser up-to-date en verwijder extensies die je niet gebruikt.

  • Controleer regelmatig wallet-activiteiten en trek ongebruikte machtigingen in.

Wat als je device besmet is met Mars Stealer malware?

Kom je erachter dat je slachtoffer bent geworden van Mars Stealer, dan is snel handelen cruciaal. Koppel het geïnfecteerde apparaat direct los van het netwerk en controleer je wallets op verdachte transacties. Maak nieuwe wallet-adressen aan en stuur je crypto naar deze walletadressen. Uiteindelijk is een volledige herinstallatie van je besturingssysteem de meest zekere manier om de malware definitief te verwijderen.

Conclusie

Mars Stealer vormt een serieuze dreiging voor iedereen die gebruikmaakt van non-custodial wallets en browser-extensies. De malware is goedkoop te verkrijgen, eenvoudig te verspreiden en moeilijk te detecteren. Hierdoor kunnen slachtoffers in korte tijd al hun crypto verliezen, vaak zonder direct te beseffen dat ze doelwit zijn geweest.

Gelukkig is het risico aanzienlijk te verkleinen door basismaatregelen te nemen, zoals het uitsluitend downloaden van software uit officiële bronnen, alert zijn op phishingpogingen, gebruik van hardware-wallets en het up-to-date houden van systemen. Voor wie actief is in de cryptowereld geldt: preventie is de sleutel. Een keer besmet raken kan namelijk betekenen dat de schade onomkeerbaar is.

Over Finst

Finst is een van de toonaangevende cryptocurrency-aanbieders in Nederland en biedt een eersteklas investeringsplatform samen met institutionele veiligheidsnormen en ultra-lage handelskosten. Finst wordt geleid door het ex-core team van DEGIRO en is geautoriseerd als aanbieder van cryptoactivadiensten door de Autoriteit Financiële Markten (AFM). Finst biedt een volledig pakket aan crypto-diensten, waaronder handel, bewaring, fiat on/off ramp en staking voor zowel particuliere als institutionele beleggers.

Het cryptoplatform dat je geweldig gaat vinden

We zijn hier om je de tools, inspiratie en ondersteuning te geven die je nodig hebt om een betere investeerder te worden.

Registreren
Trustpilot