Les utilisateurs ont été mis en garde contre un nouveau logiciel malveillant conçu pour voler des crypto-monnaies dans les extensions de navigateur telles que MetaMask et Coinbase Wallet.
La sécurité n’a jamais été le point fort des portefeuilles de crypto basés sur un navigateur pour stocker le Bitcoin (BTC), l’Ether (ETH) et d’autres crypto-monnaies. Cependant, un nouveau logiciel malveillant rend la sécurité des portefeuilles en ligne encore plus compliquée en ciblant directement les portefeuilles de crypto-monnaies qui fonctionnent comme des extensions de navigateur, comme MetaMask, Binance Chain Wallet ou Coinbase Wallet.
Nommé Mars Stealer par ses développeurs, le nouveau malware est une mise à niveau puissante du trojan Oski de 2019, qui vole des informations, selon le chercheur en sécurité 3xp0rt. Il cible plus de 40 portefeuilles de crypto basés sur un navigateur, ainsi que des extensions populaires d’authentification à deux facteurs (2FA), avec une fonction de grabber qui vole les clés privées des utilisateurs.
MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet et TronLink font partie de la liste des portefeuilles ciblés. L’expert en sécurité note que le malware peut cibler les extensions des navigateurs basés sur Chromium, à l’exception d’Opera. Malheureusement, cela signifie que certains des navigateurs les plus courants, tels que Google Chrome, Microsoft Edge et Brave, figurent sur la liste. En outre, bien qu’ils soient à l’abri des attaques spécifiques aux extensions, Firefox et Opera sont également vulnérables au détournement d’informations d’identification.
Mars Stealer peut se propager par différents canaux tels que les sites d’hébergement de fichiers, les clients torrent et tout autre téléchargeur douteux. Après avoir infecté un système, la première chose que fait le malware est de vérifier la langue de l’appareil. S’il correspond à l’identifiant de langue du Kazakhstan, de l’Ouzbékistan, de l’Azerbaïdjan, du Belarus ou de la Russie, le logiciel quitte le système sans aucune action malveillante.
Pour le reste du monde, le malware cible un fichier qui contient des informations sensibles telles que les adresses et les clés privées des portefeuilles de cryptomonnaie. Il quitte ensuite le système en supprimant toute présence une fois le vol terminé.
Les pirates vendent actuellement Mars Stealer pour 140 dollars sur les forums du dark web, ce qui signifie que la barrière d’accès au cheval de Troie est relativement faible pour les acteurs malveillants. Les utilisateurs qui détiennent leurs actifs cryptographiques sur des portefeuilles basés sur un navigateur ou qui utilisent des extensions de navigateur comme Authy pour utiliser le système 2FA sont invités à être prudents et à ne pas cliquer sur des liens ou des téléchargements douteux.
