Mars Stealer – mã độc nguy hiểm âm thầm đánh cắp tiền điện tử

Hiển Đạt12:49 08/02/2022

Mã độc Mars Stealer có kích thước chỉ 95kb, thế nhưng mức độ nguy hiểm đáng báo động khi có thể tấn công loạt mục tiêu như các trình duyệt phổ biến, ví tiền điện tử và các trình xác thực hai lớp.

Trong đầu tháng 2, nhà nghiên cứu bảo mật 3xp0rt đã công bố những phân tích chi tiết về mã độc này. Theo đó, Mars Stealer là một bản nâng cấp của trojan Oski (2019) và có thể cướp được tiền điện tử lưu trữ trong ví người dùng bằng cách tấn công các tiện ích mở rộng trình duyệt của ví.

“Mars Stealer được viết bằng ASM/C sử dụng WinApi, kích thước khoảng 95kb. Sử dụng các kỹ thuật đặc biệt để ẩn lệnh WinApi, mã hóa chuỗi, thu thập thông tin trong bộ nhớ, hỗ trợ kết nối SSL bảo mật với C&C, không sử dụng CRT, STD”, 3xp0rt mô tả.

Mars Stealer đáng quan ngại khi nhắm đến nhiều trình duyệt, trình bảo mật và ví tiền điện tử phổ biến

3xp0rt nhận định Mars Stealer có thể dễ dàng xâm nhập tiện ích mở rộng liên quan đến tiền điện tử, bao gồm các ví phổ biến như MetaMask, ví Nifty, ví Coinbase, ví Binance Chain và Tron Link. Mã độc này nhắm đến các tiện ích mở rộng nhân Chromium, vậy nên những trình duyệt như Google Chrome, Cốc Cốc hay Microsoft Edge (phiên bản chromium) sẽ bị ảnh hưởng.

Video đang HOT

Ngoài ra, Mars Stealer có thể trích xuất thông tin có giá trị liên quan đến máy tính như vi xử lý, tên máy tính, ID máy, GUID, phần mềm đã cài đặt và các phiên bản của chúng, tên người dùng và tên miền của máy tính.

Về cách thức hoạt động, mã độc này xâm nhập vào các tiện ích mở rộng của ví bằng cách lây lan qua nhiều nguồn khác nhau, bao gồm các trang web lưu trữ tệp, ứng dụng torrent và các trang web không tin cậy. Sau khi xâm nhập được vào tiện ích mở rộng ví tiền điện tử, mã độc sẽ phá khóa cá nhân cũng như bảo mật hai lớp (Google Authenticator, Authy, GAuth Authenticator hay Trezor Password Manager), sau đó sẽ xóa mọi dấu vết trộm cắp rồi thoát khỏi tiện ích mở rộng.

Bên cạnh đó, Mars Stealer có khả năng “trốn” các phần mềm bảo mật bằng phương pháp ẩn lệnh gọi API và kỹ thuật mã hóa chuỗi, trong khi đó những thông tin thu thập sẽ được bảo vệ trong bộ nhớ thiết bị và truyền tải qua phương thức SSL. Chính vì vậy, việc phát hiện, ngăn chặn và truy vết trở nên vô cùng khó khăn.

Tuy vậy, một điểm bất thường trên Mars Stealer là phần mềm này sẽ kiểm tra trước quốc gia xuất xứ của người dùng. Nếu người dùng sử dụng ngôn ngữ là tiếng Azerbaijan, Nga, Kazakhstan, Belarus, Azerbaijan hoặc Uzbekistan, chương trình này sẽ không thực hiện hành vi xấu và chỉ âm thầm rút lui.

Với một số cấu hình vùng, ngôn ngữ nhất định, mã độc sẽ “tha”

Đến hiện tại, vẫn chưa có bất kỳ thống kê về số nạn nhân của mã độc này. Tuy nhiên, các mục tiêu mã độc này nhắm tới lại có đến hàng chục triệu người dùng, dấy lên mối lo ngại rất lớn về vấn đề bảo mật.

Lộ diện malware có khả năng 'trộm' private key của ví Metamask, bán hẳn trên darkweb với giá chỉ 3,2 triệu đồng

Có tới 40 loại ví tiền điện tử dựa trên trình duyệt, cùng với các tiện ích mở rộng xác thực hai yếu tố (2FA) phổ biến, bị Mars Stealer đưa vào tầm ngắm"

Trái ngược với các ví lạnh, khả năng bảo mật chưa bao giờ là điểm mạnh của các loại ví tiền điện tử dựa trên trình duyệt để lưu trữ Bitcoin (BTC), Ether (ETH) và các loại tiền điện tử khác.

Đáng nói, sự xuất hiện của phần mềm độc hại (malware) sau đây đang khiến độ bảo mật của các các ví tiền điện tử hoạt động dưới dạng tiện ích mở rộng của trình duyệt thông dụng như MetaMask, Binance Chain Wallet hoặc Coinbase Wallet ngày càng trở nên mong manh hơn.

Được các nhà phát triển đặt tên là Mars Stealer, malware này là một bản nâng cấp mạnh mẽ của trojan Oski, vốn từng được sử dụng để ăn cắp thông tin của người dùng vào năm 2019, theo nhà nghiên cứu bảo mật 3xp0rt.

Theo đó, Mars Stealer sở hữu khả năng khá bá đạo khi có thể đánh cắp được khóa cá nhân (private key) của người dùng. Đáng chú ý, có tới 40 loại ví tiền điện tử dựa trên trình duyệt, cùng với các tiện ích mở rộng xác thực hai yếu tố (2FA) phổ biến, bị Mars Stealer đưa vào tầm ngắm". Trong số này có thể kể đến các cái tên như MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet và TronLink..

Theo các chuyên gia bảo mật, phần mềm độc hại nói trên có thể nhắm mục tiêu là các tiện ích mở rộng trên các trình duyệt dựa trên nhân Chromium (ngoại trừ Opera). Điều này có nghĩa, một số trình duyệt phổ biến nhất như Google Chrome, Microsoft Edge và Brave đã lọt vào danh sách. Ngoài ra, trong khi an toàn trước các cuộc tấn công dành riêng cho tiện ích mở rộng, Firefox và Opera cũng dễ bị tấn công bằng phương thức chiếm đoạt thông tin xác thực.

Theo CoinTelegraph, Mars Stealer có thể được phát tán qua nhiều kênh khác nhau như các website chia sẻ dữ liệu, các trang torrent hay bất kỳ trình tải xuống mờ ám nào khác.

Một điểm rất đáng ngạc nhiên, là sau khi xâm nhập thành công vào hệ thống, điều đầu tiên Mars Stealer làm là kiểm tra ngôn ngữ của thiết bị. Theo đó, nếu nó khớp với ID ngôn ngữ của các quốc gia như Kazakhstan, Uzbekistan, Azerbaijan, Belarus hoặc Nga, phần mềm sẽ rời khỏi hệ thống mà không có bất kỳ hành động xấu nào.

Đối với phần còn lại của thế giới, Mars Stealer nhắm mục tiêu vào một tệp chứa thông tin nhạy cảm như thông tin địa chỉ và khóa cá nhân của ví tiền điện tử. Sau đó, nó rời khỏi hệ thống bằng cách xóa bất kỳ sự hiện diện nào sau khi hành vi trộm cắp hoàn tất. Tin tặc hiện đang bán Mars Stealer với giá cực rẻ, chỉ140 USD trên các diễn đàn darkweb. Điều này có nghĩa, bất kì kẻ có ý đồ xấu nào đều có thể tiếp cận và sử dụng malware này.

Được biết, người dùng giữ tài sản tiền điện tử của họ trên ví dựa trên trình duyệt hoặc sử dụng tiện ích mở rộng trình duyệt như Authy để sử dụng xác thực 2 lớp (2FA) được cảnh báo là nên thận trọng khi tải xuống hoặc nhấp vào các liên kết đáng ngờ.

Phần mềm nguy hiểm "lây nhiễm" nhiều smartphone, người dùng có thể mất sạch tiền trong tài khoản nếu không biết điều này! Một số biến thể của phần mềm độc hại này đang được kẻ xấu phát tán và nhắm mục tiêu đến người dùng smartphone tại nhiều quốc gia. ZDNet đưa tin, các nhà nghiên cứu bảo mật tại Cleafy gần đây đã phát hiện ra một mối nguy hiểm đe doạ đến người dùng các thiết bị Android. Được gọi là BRATA (viết...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Chủ đề: mã độc trình duyệt tiền điện tử trình bảo mật mars stealer mã độc nguy hiểm mã độc mars stealer đánh cắp tiền điện tử

Xem thêm Share

Xem nhiều

Bí mật về quê sau 11 năm ở Hàn Quốc, chàng trai tặng bố mẹ 'món quà' bất ngờ01:26

Doãn Hải My cứ hát là hút triệu view, xuất sắc thế nào mà dân mạng tấm tắc "Đoàn Văn Hậu chọn vợ quá đỉnh"01:01

MV Tết của Đen quá hot: Đạt Top 1 Trending sau hơn 1 ngày, kéo dài chuỗi kỷ lục suốt 6 năm!05:15

Éo le: Vô tư nhờ người lạ chụp ảnh trên Hồ Gươm nhưng không hề nhận ra đó là 1 sao nam nổi tiếng Vbiz00:42

Sự thật bất ngờ về clip "thầy tặng mỗi học sinh 1 triệu đồng để ăn Tết"00:38

Soi cận căn hộ sang chảnh, "đậm mùi tiền" của Hoa hậu Đỗ Hà tại Hà Nội01:22

1 sao nam bị Lê Dương Bảo Lâm đuổi khéo khỏi thảm đỏ, lý do chuẩn đến mức không ai cãi nổi00:47

Dàn em vợ đeo huy chương võ thuật lên phát biểu khiến chú rể toát mồ hôi00:53

Năm SOOBIN nổi đình đám với hit Phía Sau Một Cô Gái, Hoa hậu Thanh Thủy mới học lớp 905:30

Negav lộ diện ở Bộ Tứ Báo Thủ, Trấn Thành khẳng định: "Những điều đã xảy ra thì không thể thay đổi"02:09

Chuyện lạ có thật: Chó mẹ mang con đến phòng khám để cầu cứu01:24

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn