Mars Stealer Malware: Co warto wiedzieć

| 6 min czytania
Mars Stealer Malware

Internetowe portfele non-custodial to popularny sposób przechowywania kryptowalut. Są łatwe w obsłudze i można je podłączyć do różnych dApps. Dają dużą swobodę w świecie krypto. Wiążą się jednak także z ryzykiem bezpieczeństwa, zwłaszcza w przypadku rozszerzeń portfeli, takich jak MetaMask, Binance Chain Wallet i Keplr. Mars Stealer to złośliwe oprogramowanie stworzone specjalnie po to, by kraść klucze prywatne, adresy portfeli, a nawet dane 2FA z przeglądarkowych portfeli non-custodial.

Najważniejsze informacje

  • Mars Stealer to rozwinięcie trojana Oski (2019), które w szczególności atakuje klucze prywatne, dane portfeli i informacje 2FA z rozszerzeń przeglądarki.

  • Złośliwe oprogramowanie jest sprzedawane tanio w dark webie, dzięki czemu cyberprzestępcy na całym świecie mają do niego łatwy dostęp.

  • Mars Stealer rozprzestrzenia się przez e-maile phishingowe, złośliwe strony internetowe i torrenty, często podszywając się pod legalne oprogramowanie lub plik .exe do pobrania.

  • Program wykonuje testy, by uniknąć wykrycia, wyłącza się przy podejrzanych ustawieniach systemu i usuwa ślady, aby pozostać ukrytym.

  • Celem ataku są popularne portfele i przeglądarkowe wtyczki 2FA, takie jak MetaMask, Keplr, Binance Chain Wallet, Jaxx Liberty, Coinbase Wallet i Authy.

Czym jest Mars Stealer?

Mars Stealer to złośliwe oprogramowanie, które kradnie cenne informacje z zewnętrznych portfeli, takich jak MetaMask i Keplr. Obejmuje to klucze prywatne dające dostęp do wszystkich Twoich kryptowalut. Oprogramowanie można kupić w dark webie za około 140$, co sprawia, że cyberprzestępcy mogą łatwo wejść w jego posiadanie. Dla ofiar konsekwencje mogą być ogromne: jeśli Twój portfel krypto zostanie zainfekowany, możesz się zalogować i nagle zobaczyć saldo równe zero. Koszmar wielu HODLerów.

Jak działa złośliwe oprogramowanie Mars Stealer?

Mars Stealer często wygląda jak legalne oprogramowanie, ale zazwyczaj trafia do użytkownika przez e-mail phishingowy. Po instalacji złośliwe oprogramowanie skanuje profile i rozszerzenia przeglądarki w poszukiwaniu danych portfeli oraz kluczy prywatnych. Następnie informacje te są wysyłane do atakującego, który zaciera ślady, pozostawiając Ci tylko jeden wyraźny sygnał: pusty portfel.

Jak działa Mars Stealer

Cyberprzestępca wysyła Ci wiadomość e-mail z załącznikiem lub linkiem do pobrania. Po uruchomieniu Mars Stealer najpierw wykonuje proste testy, aby sprawdzić, czy działa na zwykłym komputerze użytkownika, czy w środowisku analitycznym. Sprawdza ustawienia językowe systemu oraz szuka oznak działania w maszynie wirtualnej (VM) lub pod debugerem. Jeśli wykryje ustawienia językowe lub sygnały z określonych regionów (na przykład niektórych państw byłego ZSRR) albo środowiska forensic/analysis, często natychmiast się wyłącza i usuwa. Zmniejsza to szansę na jego analizę przez badaczy bezpieczeństwa, a jednocześnie zwiększa prawdopodobieństwo zainfekowania ofiar w innych miejscach.

Jeśli Mars Stealer działa dalej, rozpoczyna skanowanie. Oprogramowanie wyszukuje w szczególności profile przeglądarek i foldery rozszerzeń, aby znaleźć dane portfeli, klucze prywatne i informacje 2FA. Dane te są zbierane, szyfrowane i wysyłane na serwer C2. Na końcu proces usuwa pliki tymczasowe i ślady, więc ofiary zwykle zauważają problem dopiero wtedy, gdy ich portfel jest już pusty.

Cele Mars Stealer

Mars Stealer atakuje niemal wszystkie znane portfele programowe, w tym: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaxx Liberty, BitApp Wallet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, Neoline, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox, Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay i Coin98 Wallet.

Atakuje również przeglądarkowe wtyczki 2FA, w tym: Authenticator, Authy, EOS Authenticator, GAuth Authenticator i Trezor Password Manager.

Skąd wziął się Mars Stealer?

Mars Stealer jest następcą trojana Oski z 2019 roku. O ile Oski kradł głównie dane osobowe, Mars Stealer skupia się bezpośrednio na przeglądarkach i rozszerzeniach.

Dlaczego Mars Stealer jest niebezpieczny?

Mars Stealer jest groźny, ponieważ może działać niezauważenie, więc ofiary często orientują się dopiero wtedy, gdy ich portfel jest pusty albo nie mają już dostępu do konta. Co więcej, złośliwe oprogramowanie jest stale rozwijane i rozpowszechniane w nowych wariantach, co utrudnia jego wykrycie i czyni z niego poważne zagrożenie.

Jak rozprzestrzenia się złośliwe oprogramowanie Mars Stealer?

Mars Stealer rozprzestrzenia się przez e-maile phishingowe, złośliwe strony pobierania i torrenty. Często jest podszyty pod plik .exe do pobrania, zwykle udając film albo pakiet oprogramowania.

Jak możesz się chronić przed Mars Stealer?

Dobra wiadomość jest taka, że masz duży wpływ na to, czy staniesz się ofiarą złośliwego oprogramowania Mars Stealer. Jeśli chcesz bezpiecznie korzystać z krypto, trzymaj się tych podstaw:

  • Pobieraj oprogramowanie wyłącznie z oficjalnych i legalnych źródeł.

  • Zachowaj ostrożność wobec podejrzanych e-maili i linków, którym nie do końca ufasz.

  • Unikaj torrentów i podejrzanych plików pobieranych na urządzeniach, na których korzystasz z portfeli.

  • Przy większych kwotach używaj portfela sprzętowego. Przechowują one klucze prywatne offline, poza zasięgiem złośliwego oprogramowania.

  • Dbaj o aktualność systemu operacyjnego i przeglądarki oraz usuwaj rozszerzenia, z których nie korzystasz.

  • Regularnie sprawdzaj aktywność portfela i cofaj nieużywane uprawnienia.

Co zrobić, jeśli Twoje urządzenie zostało zainfekowane przez Mars Stealer?

Jeśli odkryjesz, że padłeś ofiarą ataku, działaj szybko. Odłącz zainfekowane urządzenie od sieci i sprawdź swoje portfele pod kątem podejrzanych transakcji. Utwórz nowe adresy portfeli i przenieś na nie swoje kryptowaluty. Ostatecznie najpewniejszym sposobem pozbycia się złośliwego oprogramowania jest pełna reinstalacja systemu operacyjnego.

Podsumowanie

Mars Stealer to poważne zagrożenie dla każdej osoby korzystającej z portfeli non-custodial i rozszerzeń przeglądarki. To złośliwe oprogramowanie jest tanie, łatwe do rozprzestrzeniania i trudne do wykrycia. Ofiary mogą stracić wszystkie swoje kryptowaluty w bardzo krótkim czasie, często nawet nie zdając sobie sprawy, że padły celem ataku.

Dobra wiadomość: ryzyko można znacząco ograniczyć, stosując podstawowe zasady bezpieczeństwa, takie jak pobieranie oprogramowania wyłącznie z oficjalnych źródeł, ostrożność wobec phishingu, korzystanie z portfeli sprzętowych i regularne aktualizowanie systemu. Dla każdej osoby aktywnej na rynku krypto: profilaktyka ma kluczowe znaczenie. Jedna infekcja może spowodować nieodwracalne szkody.

Osoby czytające ten artykuł są także zainteresowane

O Finst

Finst to wiodąca platforma kryptowalutowa w Holandii, oferująca bardzo niskie opłaty transakcyjne, bezpieczeństwo klasy instytucjonalnej oraz szeroki zakres usług crypto, takich jak trading, przechowywanie aktywów, staking oraz wpłaty i wypłaty fiat. Finst, założona przez byłych kluczowych członków zespołu DEGIRO, jest autoryzowana jako dostawca usług w zakresie kryptoaktywów na mocy MiCAR przez Holenderski Urząd ds. Rynków Finansowych (AFM) i obsługuje klientów detalicznych oraz instytucjonalnych w 30 krajach europejskich.

Platforma crypto, którą pokochasz

Jesteśmy po to, aby dać Ci narzędzia, inspirację i wsparcie potrzebne do tego, by stać się lepszym inwestorem.

Zarejestruj się
Trustpilot