Aunque las extensiones para navegador de monederos de criptomonedas facilitan la interacción con las DApps, los fondos almacenados corren peligro con la aparición del malware Mars Stealer, el cual puede robar credenciales y claves privadas.
Los usuarios de monederos de criptomonedas que pueden instalarse como extensiones del navegador, como MetaMask, Coinbase Wallet y Ronin Wallet, solo por mencionar algunas de las más populares, están ante un nuevo peligro con la aparición de un nuevo malware llamado Mars Stealer.
El nuevo malware, descrito por el programador y analista de ciberseguridad 3xp0rt como una copia de Oski Stealer, es un nuevo y sofisticado software malicioso que pueden robar criptomonedas desde unas 40 extensiones de monederos digitales como MetaMask. En su blog, 3xp0rt señala que Mars Stealer puede capturar información de los monederos, robar las credenciales de acceso de los usuarios, acceder a las claves privadas e incluso interceptar extensiones de 2FA (Autenticación de dos factores). Todo ello con el fin de robar las criptomonedas almacenadas en dichos monederos digitales.
Te puede interesar: Ciberseguridad: Detectan nuevo malware que apunta a las criptomonedas desde Telegram
Mars Stealer, diseñado para robar criptos
El malware Mars Stealer, escrito en ASM/C (Lenguaje C) y con un peso de 95 KB, está diseñado para recopilar información de contraseñas, cookies, historial de navegación, autocompletados y más. Este malware puede acceder y capturar información privada de los usuarios, como las direcciones de los monederos de criptomonedas, las credenciales de acceso y las claves privadas.
Mars Stealer recopila y analiza una gran cantidad de información privada de los usuarios, como datos de ubicación, como la IP, el país y zona horaria; datos del hardware, como modelo del procesador, nombre del ordenador y de usuario e identificador de la máquina; datos de software, como el sistema operativo instalado, la versión disponible y el número de GUID, un identificador único global implementado por Microsoft. 3xp0rt explica que si el análisis de los datos detecta ubicaciones como las de Kazajstán, Uzbekistán, Azerbaiyán, Rusia o Bielorrusia, Mars Stealer no se ejecuta.
Para robar los datos, Mars Stealer utiliza diversas técnicas de ofuscación de datos y anti-análisis para evitar ser detectado.
¿A qué monederos de criptomonedas afecta Mars Stealer?
De acuerdo a la investigación realizada por 3xp0rt, el malware puede robar criptomonedas desde una 40 extensiones de monederos digitales, que se muestran en el siguiente cuadro:
Estas extensiones de monederos pueden ser afectados por Mars Stealer desde navegadores compatibles con Chrome V80, como: Internet Explorer, Microsoft Edge en su versión de Chromium, Orbitium, CryptoTab, Firefox, CyberFox, Thunderbird e, incluso, Brave y Opera Stable, Opera GX y Opera Neon, entre otros más.
Por otro lado, 3xp0rt señaló que los complementos de 2FA a los que puede acceder el nuevo malware de criptomonedas son: Autenticador, Authy, EOS Authenticator, GAuth Authenticator y Trezor Password Manager.
Recomendaciones de seguridad
De momento, este malware solo afecta al sistema operativo Windows. Por tanto, es recomendable que los usuarios de este sistema operativo actualicen sus soluciones de seguridad contra malwares y antivirus para protegerse de Mars Stealer. Los usuarios de otros sistemas operativos, como MacOS y GNU/Linux, lo más recomendable es que eviten la descarga de archivos y navegar por webs sospechosas, de dudosa calidad y procedencia.
Continúa leyendo: ¿Cómo Joe Grand logró hackear la wallet Trezor de Dan Reich?