Malware Mars Stealer: O que precisa saber

| Leitura de 6 min
Malware Mars Stealer

As non-custodial wallets online são meios populares para armazenar criptomoedas. São fáceis de usar e de ligar a várias dApps. Oferecem-lhe bastante liberdade no universo cripto. No entanto, também existem riscos de segurança associados a extensões de wallets como MetaMask, Binance Chain Wallet e Keplr. Mars Stealer é um malware desenvolvido especificamente para roubar private keys, endereços de wallets e até dados de 2FA de non-custodial wallets baseadas em navegador.

Pontos principais

  • Mars Stealer é uma evolução do trojan Oski (2019) e tem como alvo específico o roubo de private keys, dados de wallets e informações 2FA em extensões de navegador.

  • O malware é vendido a baixo custo na dark web, tornando-se facilmente acessível a cibercriminosos em todo o mundo.

  • Mars Stealer propaga-se através de emails de phishing, sites maliciosos e torrents, muitas vezes disfarçado de software legítimo ou ficheiro .exe descarregável.

  • O programa realiza verificações para evitar deteção, encerra-se em caso de configurações de sistema suspeitas e elimina rastos para se manter oculto.

  • Os alvos incluem wallets e plugins 2FA populares, como MetaMask, Keplr, Binance Chain Wallet, Jaxx Liberty, Coinbase Wallet e Authy.

O que é o Mars Stealer?

Mars Stealer é um malware que rouba informações valiosas de wallets externas como MetaMask e Keplr. Inclui private keys que dão acesso a todas as suas criptomoedas. O software pode ser adquirido na dark web por cerca de 140 dólares, tornando fácil o acesso para cibercriminosos em todo o mundo. Para as vítimas, o impacto pode ser enorme: se a sua wallet for infetada, pode iniciar sessão e deparar-se com um saldo a zero. O pesadelo absoluto para muitos HODLers.

Como funciona o malware Mars Stealer?

Mars Stealer aparenta ser software legítimo, mas geralmente chega através de um email de phishing. Após a instalação, o malware analisa os perfis do navegador e as extensões em busca de dados de wallets e private keys. Esta informação é depois enviada ao atacante, que elimina todos os rastos, deixando como único indício uma wallet vazia.

O processo do Mars Stealer

O cibercriminoso envia-lhe um email com um anexo ou link de download. Ao iniciar, Mars Stealer executa primeiro verificações simples para perceber se está a correr num computador normal ou num ambiente de análise. Verifica a língua do sistema e procura sinais de execução numa máquina virtual (VM) ou sob um depurador. Se detetar idiomas ou sinais correspondentes a certos países de origem (por exemplo, alguns ex-estados soviéticos) ou a ambientes de análise/forenses, encerra-se imediatamente e elimina-se. Este comportamento reduz a probabilidade de investigadores de segurança analisarem o código e aumenta as hipóteses de atacar vítimas noutras regiões.

Se Mars Stealer prosseguir, começa o processo de varrimento. O software analisa especificamente perfis do navegador e pastas de extensões em busca de dados de wallets, private keys e informações de 2FA. Estes dados são recolhidos e enviados de forma encriptada para um servidor C2. Por fim, o processo elimina ficheiros temporários e rastos, pelo que as vítimas só se apercebem quando a sua wallet já se encontra vazia.

Alvos do Mars Stealer

Mars Stealer ataca praticamente todos os wallets de software conhecidos, incluindo: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Nifty Wallet, Math Wallet, Coinbase Wallet, Guarda, EQUAL Wallet, Jaxx Liberty, BitApp Wallet, iWallet, Wombat, MEW CX, Guild Wallet, Saturn Wallet, Ronin Wallet, Neoline, Clover Wallet, Liquality Wallet, Terra Station, Keplr, Sollet, Auro Wallet, Polymesh Wallet, ICONex, Nabox Wallet, KHC, Temple, TezBox, Cyano Wallet, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay e Coin98 Wallet.

Também tem como alvo plugins 2FA, incluindo: Authenticator, Authy, EOS Authenticator, GAuth Authenticator e Trezor Password Manager.

Como surgiu o malware Mars Stealer?

Mars Stealer é o sucessor do trojan Oski de 2019. Enquanto Oski roubava sobretudo dados pessoais, Mars Stealer foca-se diretamente nos navegadores e extensões.

O que torna o Mars Stealer perigoso?

Mars Stealer é perigoso porque pode operar sem ser detetado. As vítimas geralmente só se apercebem quando a sua wallet está vazia ou já não conseguem aceder à sua conta. Além disso, o malware é constantemente atualizado e distribuído em novas variantes, mantendo-se difícil de identificar e constituindo uma ameaça significativa.

Como se propaga o malware Mars Stealer?

O malware Mars Stealer propaga-se através de emails de phishing, sites de download maliciosos e torrents. Muitas vezes apresenta-se como um ficheiro .exe descarregável, disfarçado de filme ou pacote de software.

Como se proteger do Mars Stealer?

Felizmente, pode fazer muito para evitar tornar-se vítima do Mars Stealer. Para gerir criptomoedas em segurança, siga algumas regras básicas:

  • Descarregue software apenas de fontes oficiais e legais.

  • Esteja atento a emails e links suspeitos nos quais não confia totalmente.

  • Evite torrents e outros métodos de download duvidosos em dispositivos onde utilize wallets.

  • Utilize um hardware wallet para quantias mais elevadas. Mantêm as suas private keys offline e fora do alcance de malware.

  • Mantenha o sistema operativo e o navegador atualizados e elimine extensões que não utiliza.

  • Verifique regularmente a atividade da sua wallet e revogue permissões não utilizadas.

O que fazer se o seu dispositivo estiver infetado com o malware Mars Stealer?

Se descobrir que foi vítima do Mars Stealer, é crucial agir rapidamente. Desligue de imediato o dispositivo infetado da rede e verifique as suas wallets para identificar transações suspeitas. Crie novos endereços de wallets e transfira as suas criptomoedas para esses endereços. No final, uma reinstalação completa do sistema operativo é a forma mais segura de eliminar definitivamente o malware.

Considerações finais

Mars Stealer constitui uma ameaça séria para qualquer pessoa que utilize non-custodial wallets e extensões de navegador. O malware é barato de obter, fácil de propagar e difícil de detetar. As vítimas podem perder todas as suas criptomoedas em muito pouco tempo, muitas vezes sem se aperceberem de imediato.

Felizmente, o risco pode ser bastante reduzido através de medidas básicas, como descarregar software apenas de fontes oficiais, estar atento a tentativas de phishing, usar hardware wallets e manter os sistemas atualizados. Para quem atua no mundo cripto, a prevenção é fundamental. Uma única infeção pode significar danos irreversíveis.

Sobre a Finst

A Finst é um dos principais prestadores de serviços de criptoativos nos Países Baixos e oferece uma plataforma de investimento de excelência com padrões de segurança de nível institucional e taxas de transação super baixas. A Finst é liderada pela antiga equipa principal da DEGIRO e está autorizada como prestador de serviços de criptoativos pela Autoridade Holandesa para os Mercados Financeiros (AFM). A Finst oferece uma gama completa de serviços de criptomoedas, incluindo negociação, custódia, fiat on/off ramp e staking, tanto para pequenos investidores como também para investidores institucionais.

A plataforma de criptomoedas que vai adorar

Estamos aqui para lhe fornecer as ferramentas, a inspiração, e o apoio que precisa para se tornar num melhor investidor.

Criar conta gratuita
Trustpilot