La seguridad nunca fue el punto fuerte de las criptocarteras basadas en navegadores para almacenar Bitcoin (BTC), Ether (ETH) y otras criptodivisas. Sin embargo, un nuevo malware complica aún más la seguridad de los monederos online al dirigirse directamente a los monederos de criptomonedas que funcionan como extensiones del navegador, como MetaMask, Binance Chain Wallet o Coinbase Wallet.
Bautizado como Mars Stealer por sus desarrolladores, el nuevo malware es una potente actualización del troyano Oski de 2019 que roba información, según el investigador de seguridad 3xp0rt. Se dirige a más de 40 criptocarteras basadas en el navegador, junto con las populares extensiones de autenticación de dos factores (2FA), con una función de agarre que roba las claves privadas de los usuarios.
MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet y TronLink son algunas de las carteras atacadas. El experto en seguridad señala que el malware puede atacar las extensiones de los navegadores basados en Chromium, excepto Opera. Lamentablemente, esto significa que algunos de los navegadores más comunes como Google Chrome, Microsoft Edge y Brave están en peligro. Además, aunque están a salvo de los ataques específicos a las extensiones, Firefox y Opera también son vulnerables al secuestro de credenciales.
Mars Stealer puede propagarse a través de varios canales, como sitios web de alojamiento de archivos, clientes de torrents y cualquier otra descarga sospechosa. Tras infectar un sistema, lo primero que hace el malware es comprobar el idioma del dispositivo. Si coincide con el ID de idioma de Kazajistán, Uzbekistán, Azerbaiyán, Bielorrusia o Rusia, el software abandona el sistema sin realizar ninguna acción maliciosa.
Para el resto del mundo, el malware se dirige a un archivo que contiene información sensible, como la información de las direcciones de las criptocarteras y las claves privadas. A continuación, abandona el sistema borrando cualquier presencia una vez completado el robo.
Los hackers están vendiendo actualmente Mars Stealer por 140 dólares en foros de la DarkWeb, lo que significa que la barrera para acceder al troyano es relativamente baja para los actores maliciosos. Se advierte a los usuarios que guardan sus criptoactivos en carteras basadas en navegadores o que utilizan extensiones de navegadores como Authy para utilizar 2FA que sean cautelosos y no hagan clic en enlaces o descargas dudosas.