بنا بر گزارشها، طی اطلاعرسانی اخیر به کاربرانِ برخی کیف پولها، یک بدافزار جدید طراحی شده که هدف آن، سرقت رمزارز از کیف پولهای افزونه مرورگر مانند متامسک (MetaMask) و کوینبیس (Coinbase) گزارش شده است.
امنیت هرگز ویژگی مناسبی در کیف پولهای رمزارزی مبتنی بر مرورگر به شمار نرفته است؛ اکنون نیز بدافزار جدید مذکور، با هدف قرار دادن مستقیم کیف پولهای رمزارزی مانند متامسک که به صورت افزونه مرورگر فالیت میکنند، حفظ ایمنی در کیف پولهای آنلاین را به موضوعی بسیار پیچیدهتر تبدیل کرده است.
این بدافزار جدید که توسط توسعهدهندگان، دزد مریخ یا مارس استیلر (Mars Stealer) نامگذاری شده، یک نسخه قدرتمند و ارتقاء یافته از تروجان سرقت اطلاعات Oski است که در سال ۲۰۱۹ پدیدار شد. مارس استیلر، بیش از ۴۰ کیف پول رمزارزی مبتنی بر مرورگر و افزونههای احراز هویت دو مرحلهای (۲FA) را به واسطه تابع گربر (grabber) که کلیدهای خصوصی کاربران را هک کرده و به سرقت میبرد، هدف قرار داده است.
متامسک، نیفتی وَلِت، کوینبیس ولت، اماییو سیایکس، رونین ولت، بایننسچین ولت و ترونلینک، به عنوان برخی از کیف پولهای مورد هدف این بدافزار گزارش شدهاند. همچنین گزارش شده است که این بدافزار میتواند افزونههای مبتنی بر تمام مرورگرهای بر پایه کرومیوم (Chromium) به جز اوپرا (Opera) را تحت تأثیر قرار دهد. این امر به معنای آن است که برخی از رایجترین مرورگرها از جمله گوگل کروم (Google Chrome)، مایکروسافت اج (Microsoft Edge) و بِرِیو (Brave) در لیست مرورگرهای پرخطر قرار میگیرند. البته، دو مرورگر فایرفاکس و اوپرا نیز، با وجود آنکه از حملات مربوط به افزونهها در امان هستند، همچنان در برابر سرقت اعتبار آسیبپذیرند.
مارس استیلر را میتوان از طریق کانالهای مختلفی مانند وبسایتهای میزبان فایل، کلاینتهای تورنت و هر اپلیکیشن دانلود دیگر منتشر کرد. اولین کاری که این بدافزار پس از آلوده کردن هر سیستم انجام میدهد، بررسی زبان دستگاه است. اگر زبان دستگاه با شناسه زبان قزاقستان، ازبکستان، آذربایجان، بلاروس و یا روسیه مطابقت داشته باشد، مارس استیلر بدون هیچگونه اقدام مخربی سیستم را ترک میکند.
برای سایر کشورهای جهان، این بدافزار فایلی که اطلاعات حساسی از جمله اطلاعات آدرس کیف پولهای رمزارزی و کلیدهای خصوصی را در خود نگه میدارد را هدف قرار میدهد و پس از اتمام سرقت، با حذف هرگونه رد پایی از خود، سیستم را ترک میکند.
هکرها در حال حاضر مارس استیلر را با قیمت ۱۴۰ دلار در انجمنهای دارکوب به فروش میرسانند و این به معنای آن است که دسترسی به این تروجان برای بازیگران مخرب بسیار آسان است. به کاربرانی که داراییهای رمزارزی خود را در کیف پولهای مبتنی بر مرورگر نگهداری میکنند یا از افزونههای مرورگر مانند Authy برای استفاده از احزار هویت دو عاملی استفاده میکنند، هشدار داده میشود که در برابر کلیک کردن بر روی لینکها و یا فایلهای دانلودی مشکوک محتاط باشند.