นักวิเคราะห์ไซเบอร์เตือน พบมัลแวร์ตัวใหม่ พุ่งเป้า MetaMask โดยเฉพาะ และ Crypto Wallet อื่น ๆ มากกว่า 40 รายการ

ผู้ใช้งานได้รับคำเตือนจากมัลแวร์ตัวใหม่ที่ออกแบบมาเพื่อฉกคริปโตจากกระเป๋าเงินคริปโตบนส่วนขยายบราวเซอร์ (browser extension wallet) อย่างเช่น MetaMask และ Coinbase Wallet

ความปลอดภัยไม่เคยเหมาะสมกับกระเป๋าเงินคริปโตบนบราวเซอร์ในการจัดเก็บ Bitcoin (BTC) , Ether (ETH) และคริปโตอื่น ๆ อย่างไรก็ตาม มัลแวร์ใหม่ทำให้ความปลอดภัยของ Wallet ออนไลน์ซับซ้อนยิ่งขึ้น โดยพุ่งเป้าไปยังกระเป๋าเงินคริปโตที่ทำงานบนส่วนขยายบราวเซอร์โดยตรง อย่างเช่น MetaMask, Binance Chain Wallet หรือ Coinbase Wallet

นักวิจัยด้านความปลอดภัย 3xp0rt เปิดเผยว่ามัวแวร์ตัวใหม่นี้ชื่อว่า Mars Stealer ซึ่งเป็นตัวอัพเกรดที่มีประสิทธิภาพ Oski Trojan ที่ขโมยข้อมูลในปี 2019 โดยมีเป้าหมายไปยัง Crypto Wallet ที่ทำงานบนบราวเซอร์มากกว่า 40 รายการ รวมถึงส่วนขยายที่มีการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ยอดนิยม พร้อมฟังก์ชันดักจับขโมยคีย์ส่วนตัวของผู้ใช้งานด้วย

MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet และ TronLink ถูกลิสต์ว่าเป็น Wallet เป้าหมายบางส่วน ผู้เชี่ยวชาญคนดังกล่าวตั้งข้อสังเกตว่ามัลแวร์สามารถกำหนดส่วนขยายเป้าหมายที่ใช้ Chromium ได้ยกเว้น Opera น่าเศร้าใจหมายความว่าบราวเซอร์ทั่วไปบางตัวเช่น Google Chrome, Microsoft Edge และ Brave อยู่ในลิสต์ แม้ว่า Firefox และ Opera จะปลอดภัยจากการโจมตีผ่านส่วนขยาย แต่ Firefox และ Opera เสี่ยงต่อการถูกขโมยข้อมูลส่วนตัว

Mars Stealer สามารถแพร่กระจายไปทั่วผ่านช่องทางต่าง ๆ เช่น เว็บไซต์โอสต์ไฟล์ ไคลเอนต์ทอร์เรนต์ และเครื่องมือดาวน์โหลดต่าง ๆ เมื่อติดแล้วสิ่งแรกที่มัลแวร์ทำก็คือ ตรวจสอบภาษาขออุปกรณ์ หากตรงกับ ID ภาษาของคาซัคสถาน อุซเบกิสถาน อาเซอร์ไบจาน เบลารุส หรือรัสเซีย ซอฟต์แวร์จะออกจากระบบโดยไม่ดำเนินการอันตรายใด ๆ

ส่วนที่เหลือของโลก มัลแวร์จะกำหนดเป้าหมายไฟล์ที่มีข้อมูลละเอียดอ่อน เช่น ข้อมูลที่อยู่ Crypto Wallet และคีย์ส่วนตัว จากนั้นจะออกจากระบบโดยร่องรอยการแสดงตนใด ๆ เมื่อโจรกรรมเสร็จสิ้นแล้ว

ล่าสุด แฮ็กเกอร์กำลังขาย Mars Stealer ราคา $140 ในฟอรัมตลาดมืด นั่นหมายความว่าอุปสรรคการเข้าถึงโทรจันนั้นค่อนข้างต่ำจากคนร้าย ผู้ใช้งานที่ถือครองคริปโตบางส่วนที่ใช้งานบราวเซอร์หรือส่วนขยาย เช่น Authy ที่ใช้ 2FA จะได้รับคำเตือนให้ระมัดระวังการคลิกลิงค์หรือการดาวน์โหลดที่น่าสงสัย

ที่มา :   cointelegraph.com