Hàng loạt website tiền mã hóa phổ biến bị tấn công

Lộ diện malware có khả năng 'trộm' private key của ví Metamask, bán hẳn trên darkweb với giá chỉ 3,2 triệu đồng

Có tới 40 loại ví tiền điện tử dựa trên trình duyệt, cùng với các tiện ích mở rộng xác thực hai yếu tố (2FA) phổ biến, bị Mars Stealer đưa vào tầm ngắm"

Trái ngược với các ví lạnh, khả năng bảo mật chưa bao giờ là điểm mạnh của các loại ví tiền điện tử dựa trên trình duyệt để lưu trữ Bitcoin (BTC), Ether (ETH) và các loại tiền điện tử khác.

Đáng nói, sự xuất hiện của phần mềm độc hại (malware) sau đây đang khiến độ bảo mật của các các ví tiền điện tử hoạt động dưới dạng tiện ích mở rộng của trình duyệt thông dụng như MetaMask, Binance Chain Wallet hoặc Coinbase Wallet ngày càng trở nên mong manh hơn.

Được các nhà phát triển đặt tên là Mars Stealer, malware này là một bản nâng cấp mạnh mẽ của trojan Oski, vốn từng được sử dụng để ăn cắp thông tin của người dùng vào năm 2019, theo nhà nghiên cứu bảo mật 3xp0rt.

Theo đó, Mars Stealer sở hữu khả năng khá bá đạo khi có thể đánh cắp được khóa cá nhân (private key) của người dùng. Đáng chú ý, có tới 40 loại ví tiền điện tử dựa trên trình duyệt, cùng với các tiện ích mở rộng xác thực hai yếu tố (2FA) phổ biến, bị Mars Stealer đưa vào tầm ngắm". Trong số này có thể kể đến các cái tên như MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet và TronLink..

Theo các chuyên gia bảo mật, phần mềm độc hại nói trên có thể nhắm mục tiêu là các tiện ích mở rộng trên các trình duyệt dựa trên nhân Chromium (ngoại trừ Opera). Điều này có nghĩa, một số trình duyệt phổ biến nhất như Google Chrome, Microsoft Edge và Brave đã lọt vào danh sách. Ngoài ra, trong khi an toàn trước các cuộc tấn công dành riêng cho tiện ích mở rộng, Firefox và Opera cũng dễ bị tấn công bằng phương thức chiếm đoạt thông tin xác thực.

Theo CoinTelegraph, Mars Stealer có thể được phát tán qua nhiều kênh khác nhau như các website chia sẻ dữ liệu, các trang torrent hay bất kỳ trình tải xuống mờ ám nào khác.

Một điểm rất đáng ngạc nhiên, là sau khi xâm nhập thành công vào hệ thống, điều đầu tiên Mars Stealer làm là kiểm tra ngôn ngữ của thiết bị. Theo đó, nếu nó khớp với ID ngôn ngữ của các quốc gia như Kazakhstan, Uzbekistan, Azerbaijan, Belarus hoặc Nga, phần mềm sẽ rời khỏi hệ thống mà không có bất kỳ hành động xấu nào.

Đối với phần còn lại của thế giới, Mars Stealer nhắm mục tiêu vào một tệp chứa thông tin nhạy cảm như thông tin địa chỉ và khóa cá nhân của ví tiền điện tử. Sau đó, nó rời khỏi hệ thống bằng cách xóa bất kỳ sự hiện diện nào sau khi hành vi trộm cắp hoàn tất. Tin tặc hiện đang bán Mars Stealer với giá cực rẻ, chỉ140 USD trên các diễn đàn darkweb. Điều này có nghĩa, bất kì kẻ có ý đồ xấu nào đều có thể tiếp cận và sử dụng malware này.

Được biết, người dùng giữ tài sản tiền điện tử của họ trên ví dựa trên trình duyệt hoặc sử dụng tiện ích mở rộng trình duyệt như Authy để sử dụng xác thực 2 lớp (2FA) được cảnh báo là nên thận trọng khi tải xuống hoặc nhấp vào các liên kết đáng ngờ.