Найден новый вирус Mars Stealer, который атакует кошельки-расширения браузера, в том числе MetaMask и кошелек BSC. Это улучшенная копия вируса Oski.
Любопытно что вирус не атакует некоторые страны СНГ. Попав на устройство пользователя зловред определяет язык системы и если находит язык из 5-ти стран СНГ по умолчанию, то самоликвидируется.
Страны, на которые атака не происходит:
Россия;
Беларусь;
Узбекистан;
Казахстан;
Азербайджан
Расширения-кошельки в браузере, которые атакует вирус Mars Stealer:
ZilPay,
TronLink,
MetaMask,
Terra Station,
Coin98 Wallet.
Guarda,
Nabox Wallet,
Keplr,
Byone, OneKey,
Ronin Wallet,
Clover Wallet,
Coinbase Wallet,
Leaf Wallet,
Saturn Wallet,
BitAppWllet,
Nifty Wallet,
Jaox Liberty,
Sollet,
Liquality Wallet,
Binance Chain Wallet,
Math Wallet,
Guild Wallet,
DAppPlay,
KHC,
Hycon Lite Client,
Auro Wallet,
MEW CX,
Yoroi,
EQUAL Wallet,
Temple,
Wombat,
Neoline,
Nash Extension,
iWallet,
Polymesh Wallet,
BitClip,
TezBox Cyano Wallet,
Steem Keychain,
ICONex,
Также вирус атакует 2FA плагины:
GAuth Authenticator,
Authy.
Trezor Password Manager.
Authenticator,
EOS Authenticator,
Список браузеров, расширения в которых подвержены атаке (они все на ядре chromium):
Brave,
CryptoTab Browser,
Nichrome,
Orbitium,
QIP Surf,
Opera Neon,
Amigo,
Sputnik Browser,
PaleMoon,
Vivaldi,
TorBro Browser,
Firefox,
Torch,
IceCat,
Opera Stable,
Maxxthon6,
Maxxthon5,
Thunderbird.
Uran Browser,
Opera GX,
CocCoc,
Epic Privacy Browser,
Elements Browser,
BlackHawk,
SlimBrowser,
Yandex,
CyberFox,
Waterfox,
Microsoft Edge (Chromium Version),
Kometa,
Comodo Dragon,
K-Meleon,
Internet Explorer,
Cent Browser,
Вирус-стиллер содержит в себе:
Лоадер - подгружает вредоносные файлы жертве;
Граббер - копирует личные данные с устройства.
Данный вирус уже продают на разных русскоязычных форумах.
Полный отчет по вирусу Mars Stealer от пользователя 3xp0rt можно изучить тут со всеми подробностями https://3xp0rt.com/posts/mars-stealer