メタマスクやバイナンス・チェーン・ウォレット、コインベースウォレットなどブラウザ拡張機能として動作するウォレットを標的とするトロイの木馬型の新しいマルウェアが発見された

セキュリティ研究者の3xp0rtによると、「Mars Stealer」と名付けられたこの新しいマルウェアは、2019年に登場したマルウェアのOskiを強力にアップグレードしたものだという。暗号化されたブラウザ拡張機能やウォレット、二要素認証(2FA)から情報を盗む。40以上のブラウザベースの仮想通貨ウォレットをターゲットにされている。

メタマスクやニフティウォレット、コインベースウォレット、MEW CX、ロニンウォレット、バイナンス・チェーン・ウォレット、トロンリンクなどが標的となるウォレットの一部として挙げられている。3xp0rtは、このマルウェアはOperaを除くChromiumベースのブラウザの拡張機能をターゲットにしていると指摘した。グーグルクロームやマイクロソフトエッジ、ブレイブなども標的になっている。

Mars Stealerは、ファイルホスティングサイトやトレントクライアント、その他の怪しいダウンローダーなど、さまざまな経路で拡散される。システムに感染した後、マルウェアが最初に行うことは、デバイスの言語を確認することだ。カザフスタン、ウズベキスタン、アゼルバイジャン、ベラルーシ、またはロシアの言語IDに一致した場合、ソフトウェアは悪意ある行動を起こすことなくシステムから離脱する。

その他の国の場合、マルウェアは、仮想通貨ウォレットのアドレス情報や秘密鍵などの機密情報を保持するファイルをターゲットとする。そして、窃盗が完了すると、あらゆる存在を削除してシステムから離脱する。

ハッカーは現在、Mars Stealerをダークウェブフォーラムで140ドルで販売している。ブラウザベースのウォレットに仮想通貨を保有しているユーザーや、Authyなどのブラウザ拡張機能を使って2FAを利用しているユーザーは、怪しいリンクやダウンロードのクリックに注意するよう警告されている。