2 feb 2022

Mars Stealer: malware que roba billeteras MetaMask, Ronin, etc.

La seguridad nunca fue el punto fuerte de las billeteras basadas en navegadores para almacenar Bitcoin (BTC), Ether (ETH) y otras criptomonedas. Sin embargo, un nuevo malware complica aún más la seguridad de las billeteras online al dirigirse directamente a las billeteras de criptomonedas que funcionan como extensiones del navegador.

Llamado Mars Stealer, este malware es una actualización del troyano Oski de 2019 que roba información, según el informe técnico del investigador de seguridad 3xp0rt. Se dirige a más de 40 billeteras de criptomonedas basadas en navegador, junto con las populares extensiones de autenticación de dos factores (2FA), con una función de agarre que roba las claves privadas de los usuarios.

MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet y TronLink son algunos de las billeteras atacadas.

Browsers (soporte para Chrome v80)

  • Internet Explorer
  • Microsoft Edge (Chromium Version)
  • Kometa
  • Amigo, Torch, Orbitium\
  • Comodo Dragon
  • Nichrome
  • Maxxthon5
  • Maxxthon6
  • Sputnik Browser
  • Epic Privacy Browser
  • Vivaldi, CocCoc
  • Uran Browser
  • QIP Surf
  • Cent Browser
  • Elements Browser
  • TorBro Browser
  • CryptoTab Browser
  • Brave
  • Opera Stable
  • Opera GX
  • Opera Neon
  • Firefox
  • SlimBrowser
  • PaleMoon
  • Waterfox
  • CyberFox
  • BlackHawk
  • IceCat
  • K-Meleon
  • Thunderbird

Crypto extensions

  • TronLink
  • MetaMask
  • Binance Chain Wallet
  • Yoroi
  • Nifty Wallet
  • Math Wallet
  • Coinbase Wallet
  • Guarda
  • EQUAL Wallet
  • Jaox Liberty
  • BitAppWllet
  • iWallet
  • Wombat
  • MEW CX
  • Guild Wallet
  • Saturn Wallet
  • Ronin Wallet
  • Neoline
  • Clover Wallet
  • Liquality Wallet
  • Terra Station
  • Keplr
  • Sollet
  • Auro Wallet
  • Polymesh Wallet
  • ICONex
  • Nabox Wallet
  • KHC
  • Temple
  • TezBox Cyano Wallet
  • Byone, OneKey
  • Leaf Wallet
  • DAppPlay
  • BitClip
  • Steem Keychain
  • Nash Extension
  • Hycon Lite Client
  • ZilPay
  • Coin98 Wallet

2FA plugins

  • Authenticator
  • Authy
  • EOS Authenticator
  • GAuth Authenticator
  • Trezor Password Manager

Crypto wallets

  • Bitcoin Core and all derivatives (Dogecoin, Zcash, DashCore, LiteCoin, etc)
  • Ethereum
  • Electrum
  • Electrum LTC
  • Exodus
  • Electron Cash
  • MultiDoge
  • JAXX
  • Atomic
  • Binance
  • Coinomi

Computer information

  • IP and country
  • Working path to EXE file
  • Local time and time zone
  • Language system
  • Language keyboard layout
  • Notebook or desktop
  • Processor model
  • Computer name
  • User name
  • Domain computer name
  • Machine ID
  • GUID
  • Installed software and their versions

El experto en seguridad señala que el malware puede atacar las extensiones de los navegadores basados en Chromium, excepto Opera. Lamentablemente, esto significa que algunos de los navegadores más comunes como Google Chrome, Microsoft Edge y Brave están en la lista. Además, aunque están a salvo de los ataques específicos a las extensiones, Firefox y Opera también son vulnerables al secuestro de credenciales.

Mars Stealer puede propagarse a través de varios canales, como sitios web de alojamiento de archivos, clientes de Torrent y cualquier otra descarga sospechosa. Tras infectar un sistema, lo primero que hace el malware es comprobar el idioma del dispositivo. Si coincide con el ID de idioma de Kazajistán, Uzbekistán, Azerbaiyán, Bielorrusia o Rusia, el software abandona el sistema sin realizar ninguna acción maliciosa.

Para el resto del mundo, el malware se dirige a un archivo que contiene información sensible, como la información de las direcciones de las billeteras de criptomonedas y las claves privadas. Posteriormente, abandona el sistema borrando cualquier presencia una vez completado el robo.

Los delincuentes están vendiendo actualmente Mars Stealer por USD 140 en foros de la Dark Web, lo que significa que la barrera de acceso al troyano es relativamente baja para los actores malintencionados. Se advierte a los usuarios que guardan sus criptoactivos en carteras basadas en navegadores que tengan cuidado de no hacer clic en enlaces o descargas sospechosas.

Fuente: CoinTelegraph

Suscríbete a nuestro Boletín

4 comentarios:

  1. Muy interesante, respecto al fichero que se indcia que buscan, ¿sabeis el nombre y la ruta en Windows?

    ResponderBorrar
  2. Muy interesante y acojonante a la vez, respecto al fichero que indican que roban dodne se alamacenan la claves privadas, ¿sabeis ubicacion y nombre? Si existe, es un fallo de seguridad enorme..

    ResponderBorrar
  3. Alcanzará también las instalaciones con Linux y Mac ? Revisé el documento, parece centrarse bastante en plataformas Windows ...

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!