لم يكن الأمان أبداً هو من مميزات محافظ العملات الرقمية المستندة إلى المتصفح. ومع ذلك، فإن البرامج الضارة الجديدة تجعل أمان المحافظ التي تعتمد على المتصفحات اكثر تعقيداً من خلال الاستهداف المباشر لمحافظ العملات الرقمية التي تعمل كملحقات للمتصفح مثل ميتاماسك أو محفظة باينانس أو محفظة Coinbase.
تمت تسمية البرنامج الضار الجديد باسم Mars Stealer من قبل مطوريه، وهو ترقية قوية للـ Trojan المخصص لسرقة المعلومات Oski trojan الذي صدر عام 2019، وفقاً للباحث الأمني 3xp0rt. يستهدف هذا الـ Trojan أكثر من 40 محفظة رقمية قائمة على المتصفح، إلى جانب امتدادات المصادقة الثنائية الشائعة (2FA)، مع وظيفة خاصة تقوم بسرقة المفاتيح الخاصة للمستخدمين.
تم ذكر MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet و Tron باعتبارها بعض المحافظ المستهدفة. يلاحظ خبير الأمان أن البرامج الضارة يمكن أن تستهدف الامتدادات على المتصفحات القائمة على Chromium باستثناء Opera.
للأسف، هذا يعني أن بعض المتصفحات الأكثر شيوعاً مثل Google Chrome ,Microsoft Edge وBrave وصلت إلى القائمة. أيضاً، وعلى الرغم من كونهما في مأمن من الهجمات الخاصة بالامتدادات، إلا أن Firefox و Opera عرضة أيضاً لاختطاف بيانات الاعتماد.
يمكن نشر Mars Stealer من خلال قنوات مختلفة مثل مواقع استضافة الملفات وعملاء التورنت وأي برامج تنزيل مشبوهة أخرى. بعد إصابة النظام، فإن أول شيء يفعله البرنامج الضار هو التحقق من لغة الجهاز. إذا كان يتطابق مع معرف اللغة في كازاخستان، أوزبكستان، أذربيجان، بيلاروسيا أو روسيا، فإن البرنامج يترك النظام دون أي إجراء ضار.
بالنسبة لبقية العالم، تستهدف البرامج الضارة ملفاً يحتوي على معلومات حساسة مثل معلومات عنوان محافظ العملات الرقمية والمفاتيح الخاصة. ثم يترك النظام عن طريق حذف أي وجود بمجرد اكتمال السرقة.
يبيع المتسللون حالياً Mars Stealer مقابل 140 دولار في منتديات الدارك ويب، مما يعني أن حاجز الوصول إلى حصان طروادة (Trojan) منخفض نسبياً. لذلك، وجب تحذير المستخدمين الذين يحتفظون بأصولهم الرقمية في محافظ قائمة على المتصفح. يجب على المستخدمين أيضا الحذر عند استخدام ملحقات المتصفح مثل Authy لاستخدام المصادقة الثنائية (2FA)، والحذر من النقر فوق الروابط أو التنزيلات المشكوك فيها.
