3XPort Phát Cảnh Báo Mã Độc Âm Thầm Tấn Công Ví Điện Tử Thông Qua Trình Duyệt Web

Mới đây, các nhà nghiên cứu bảo mật hàng đầu thế giới 3xp0rt đã đưa ra những công bố và cảnh báo khẩn liên quan đến một mã độc mới có tên là Mars Stealer. Mã độc này có thể xâm nhập vào ví điện tử của người dùng thông qua trình duyệt web, phá khóa cá nhân 2 lớp và cuỗm tiền trong ví điện tử của nạn nhân mà không để lại bất kỳ dấu vết nào.

Theo 3xp0rt, tiền thân của Mars Stealer là Oski Stealer - một malware nguy hiểm xuất hiện từ năm 2019 tuy nhiên sau đó đã biến mất cùng sự tạm ngưng hoạt động của Oski. Mars Stealer xuất hiện như kẻ kế nhiệm của Oski nhưng ở một level cao hơn. Mars Stealer hoạt động tinh vi hơn và nhắm trực tiếp đến chủ sở hữu tiền điện tử.

Sự nguy hiểm của Mars Stealer nằm ở số lượng mục tiêu mà mã độc này có thể tấn công. 40 ví tiền số phổ biến hoạt động dưới dạng tiện ích mở rộng trên trình duyệt như MetaMask, Binance Chain Wallet, Coinbase Wallet, hay một số ví của nhà phát triển Việt Nam như Ronin, Coin98... đều có thể trở thành nạn nhân của Mars Stealer. ​Mã độc này cũng có thể thu thập thông tin từ hơn 30 trình duyệt, gồm những cái tên phổ biến như Google Chrome, Internet Explorer, Microsoft Edge, CocCoc, FireFox cùng các ứng dụng xác thực như Authenticator, Authy, Trezor Password Manager.

Ngoài đánh cắp tiền, Mars Stealer còn có thể trích xuất các thông tin có giá trị liên quan đến máy tính như tên máy tính, vi xử lý, ID máy, GUID, danh sách các phần mềm đã cài đặt và các phiên bản của chúng. Thậm chí, Mars Stealer còn có thể tra và trích xuất đến chủ nhân tên người dùng và tên miền của máy tính chủ mà nó xâm nhập vào.

3xp0rt cũng phát hiện ra một điểm thú vị là malware này sẽ kiểm tra trước quốc gia của nạn nhân mà mình sắp tấn công. Nếu nạn nhân là người dùng thuộc các quốc gia sử dụng các ngôn ngữ như Nga, Azerbaijan, Kazakhstan, Uzbekistan, Belarus thì malware này sẽ không thực hiện hành vi xấu và chỉ âm thầm rút lui.

Về cách thức hoạt động, Mars Stealer sẽ xâm nhập vào các tiện ích mở rộng của ví điện tử theo nhiều nguồn khác nhau bao gồm các trang web lưu trữ, ứng dụng torent và các nguồn tải về không đáng tin cậy khác. Sau khi xâm nhập được vào tiện ích mở rộng ví tiền điện tử, mã độc sẽ phá khóa cá nhân cũng như bảo mật hai lớp (Google Authenticator, Authy, GAuth Authenticator hay Trezor Password Manager), sau đó sẽ xóa mọi dấu vết trộm cắp rồi thoát khỏi tiện ích mở rộng.

Mars Stealer còn có khả năng "trốn" các phần mềm bảo mật bằng phương pháp ẩn lệnh gọi API và kỹ thuật mã hóa chuỗi. Trong khi đó, những thông tin thu thập sẽ được bảo vệ trong bộ nhớ thiết bị và truyền tải qua phương thức SSL. Chính vì vậy, việc phát hiện, ngăn chặn và truy vết trở nên vô cùng khó khăn.

Đến nay, vẫn chưa thể thống kê được số nạn nhân đã bị malware Mars Stealer tấn công và chiếm đoạt tiền điện tử. Điều này đã tạo nên một sự hoang mang không hề nhỏ cho những người đang sở hữu ví điện tử trên thế giới. Các nhà phân tích cũng dự đoán, mã độc này sẽ còn bùng phát dữ dội hơn nữa khi nó đang được một tài khoản MarsTeam rao bán trên các diễn đàn hacker với giá thành rất hời chỉ 140 USD - 160 USD. Theo BleepingComputer, với giá thành như thế này, Mars Stealer dễ dàng rơi vào tay của những kẻ xấu và được chúng sử dụng trong các cuộc tấn công tiền điện tử trong tương lai.

Người dùng chỉ có thể tự bảo vệ mình bằng cách tắt các tính năng tải và cập nhật tự động từ hệ thống, lựa chọn các trang web truy cập uy tín.  3xp0rt cũng mô tả thêm về Mars Stealer để người dùng chủ động tránh như:  “Mars Stealer được viết bằng ASM/C sử dụng WinApi, kích thước khoảng 95kb. Sử dụng các kỹ thuật đặc biệt để ẩn lệnh WinApi, mã hóa chuỗi, thu thập thông tin trong bộ nhớ, hỗ trợ kết nối SSL bảo mật với C&C, không sử dụng CRT, STD”.

Những tin tức và diễn biến tiếp theo của mã độc tấn công ví điện tử Mars Stealer sẽ được Bảo Long PC cập nhật trong Trang tin công nghệ. Follow ngay Trang tin công nghệ để không bỏ lỡ bất kỳ tin tức công nghệ sốt dẻo nào nhé!