кошелек Вирус атакует все криптокошельки-расширения, но не трогает 5 стран СНГ

[BOMBERuss 7928]

Найден новый вирус Mars Stealer, который атакует кошельки-расширения браузера, в том числе MetaMask и кошелек BSC. Это улучшенная копия вируса Oski.

Любопытно что вирус не атакует некоторые страны СНГ. Попав на устройство пользователя зловред определяет язык системы и если находит язык из 5-ти стран СНГ по умолчанию, то самоликвидируется.

Страны, на которые атака не происходит:

• Россия;
• Беларусь;
• Узбекистан;
• Казахстан;
• Азербайджан

Расширения-кошельки в браузере, которые атакует вирус Mars Stealer:

• ZilPay,
• TronLink,
• MetaMask,
• Terra Station,
• Coin98 Wallet.
• Guarda,
• Nabox Wallet,
• Keplr,
• Byone, OneKey,
• Ronin Wallet,
• Clover Wallet,
• Coinbase Wallet,
• Leaf Wallet,
• Saturn Wallet,
• BitAppWllet,
• Nifty Wallet,
• Jaox Liberty,
• Sollet,
• Liquality Wallet,
• Binance Chain Wallet,
• Math Wallet,
• Guild Wallet,
• DAppPlay,
• KHC,
• Hycon Lite Client,
• Auro Wallet,
• MEW CX,
• Yoroi,
• EQUAL Wallet,
• Temple,
• Wombat,
• Neoline,
• Nash Extension,
• iWallet,
• Polymesh Wallet,
• BitClip,
• TezBox Cyano Wallet,
• Steem Keychain,
• ICONex,

 

Также вирус атакует 2FA плагины:

• GAuth Authenticator,
• Authy.
• Trezor Password Manager.
• Authenticator,
• EOS Authenticator,

Список браузеров, расширения в которых подвержены атаке (они все на ядре chromium):

• Brave, 
• CryptoTab Browser, 
• Nichrome, 
• Orbitium, 
• QIP Surf, 
• Opera Neon, 
• Amigo, 
• Sputnik Browser, 
• PaleMoon, 
• Vivaldi, 
• TorBro Browser, 
• Firefox, 
• Torch, 
• IceCat, 
• Opera Stable, 
• Maxxthon6, 
• Maxxthon5, 
• Thunderbird.
• Uran Browser, 
• Opera GX, 
• CocCoc, 
• Epic Privacy Browser, 
• Elements Browser, 
• BlackHawk, 
• SlimBrowser, 
• Yandex,
• CyberFox, 
• Waterfox, 
• Microsoft Edge (Chromium Version),
• Kometa, 
• Comodo Dragon, 
• K-Meleon,
• Internet Explorer,
• Cent Browser, 

Вирус-стиллер содержит в себе:

1. Лоадер - подгружает вредоносные файлы жертве;
2. Граббер - копирует личные данные с устройства.

 

Данный вирус уже продают на разных русскоязычных форумах.

 

 

Полный отчет по вирусу  Mars Stealer от пользователя 3xp0rt можно изучить тут со всеми подробностями https://3xp0rt.com/posts/mars-stealer

 

 

 

 

 

 

[J.Assange 12938]

Какие благородные хакеры,ну что ж респект что не трогают СНГ.Вопрос вот в чем,не совсем понял как он проникает на пк,По классике ничего не скачивать левого на пк?

[BOMBERuss 7928]

1 час назад, J.Assange said:

Какие благородные хакеры,ну что ж респект что не трогают СНГ.Вопрос вот в чем,не совсем понял как он проникает на пк,По классике ничего не скачивать левого на пк?

Это же одно из основных правил безопасности. Плюс с почты не переходить куда не надо.

Загрузчик настолько мало весит, что его можно к изображению приклеить и при открытии изображения он запустится, но вес картинки на пару десятков килобайт только раздует Для примера вот так прячем файл в картинку https://www.bomberuss.ru/2015/12/jpg.html

Конечно исполняемые exe или bat файлы чуть сложнее клеят, но клеят.

Также данный стиллер можно соединить с другим вирусом и распространять другими методами, но антивирус луче иметь.

Они не трогают только 5 стран СНГ.

У меня антивирус, браузер с протекцией и расширения для блокировки лишнего, так как Java Script исполняется только в браузере и может подгрузить лишнего.

 

[J.Assange 12938]

22 minutes ago, BOMBERuss said:

но вес картинки на пару десятков килобайт только раздует Для примера вот так прячем файл в картинку 

Честно про картинку даже и не думал,сильно это конечно)Я уже много лет как ничего не трогаю,если не уверен,по почте только рабочие моменты,все остальное сходу в спам.

[BOMBERuss 7928]

33 minutes ago, J.Assange said:

Честно про картинку даже и не думал,сильно это конечно)Я уже много лет как ничего не трогаю,если не уверен,по почте только рабочие моменты,все остальное сходу в спам.

А что про нее думать, если можно даже в mp3 файл с песней информацию засунуть. Именно поэтому соцсети, например ВК, после добавления фото переваривают файл и стирают метаданные, в частности EXIF.

В спам не в спам, а адрес в почте можно подделать и настоящего отправителя также увидеть только в метаданных. Была даже корявенькая статья на форуме по этому поводу.

Вирус WannaCry даже сам распространялся, прощупывая 445 порт зараженного ПК и искал в сети рабочие станции с таким же открытым портом.

 

Edited February 2, 2022 by BOMBERuss

[Ribolov007 891]

так понятно, откуда ноги растут. Они пока чебурашку не запустят, не успокоятся. А серьезно - так ведь дела не рашаются. Есть определенные нормы, правила, понятия в конце концов. Но на это все плюют эти хакеры. Ладно бедным бы раздавали наворованное, но ведь нет... на кол, мерзавцев. А если хакеры красивые девушки, то.... но потом на кол и сжечь!

[Badger 1939]

39 minutes ago, Ribolov007 said:

так понятно, откуда ноги растут. Они пока чебурашку не запустят, не успокоятся. А серьезно - так ведь дела не рашаются. Есть определенные нормы, правила, понятия в конце концов. Но на это все плюют эти хакеры. Ладно бедным бы раздавали наворованное, но ведь нет... на кол, мерзавцев. А если хакеры красивые девушки, то.... но потом на кол и сжечь!

Очень часто группировки хакеров являются международными. Поэтому версий и домыслов о происхождении всегда достаточно. Странно почему в перечне нет Украины!?  Хотя специалисты по стилистике скрипта довольно точно могут определить страну происхождения. И возможно даже, что это будут товарищи из КНДР.

[BOMBERuss 7928]

25 minutes ago, Badger said:

Очень часто группировки хакеров являются международными. Поэтому версий и домыслов о происхождении всегда достаточно. Странно почему в перечне нет Украины!?  Хотя специалисты по стилистике скрипта довольно точно могут определить страну происхождения. И возможно даже, что это будут товарищи из КНДР.

Вирус подкачивал библиотеки .dll с домена cookreceipts.ru, который имел NS сервера ns1.hosting.reg.ru и ns2.hosting.reg.ru. Как думаете reg.ru это регистратор доменных имен какой страны?

Хотя вполне возможно что это представители других стран, использовавшие чужие данные для регистрации доменного имени и .ru прокси.

Вот только вирус продают в ру сегменте интернета.

 

1 час назад, Ribolov007 said:

на кол, мерзавцев

В сети нет никаких правил и норм. Тут каждый зарабатывает как может. 

Даже на йух посылать друг-друга не стесняются.

[Typpak 16028]

Думаю, что причина не столько в безопасности, как в том, что там воровать то нечего) Хотя думаю это мое личное переживание. На самом деле вряд ли узнаем и это странно, что СНГ не будет подвергаться атаке. Вполне возможно, что вирус попадёт на пк, то он не запустится, но можно будет его передать также. И ты об этом не узнаешь и твой знакомый. Опасность везде, нужно быть осторожным. 

[BOMBERuss 7928]

22 minutes ago, Typpak said:

Вполне возможно, что вирус попадёт на пк, то он не запустится, но можно будет его передать также. И ты об этом не узнаешь и твой знакомый.

Данный вирус при попадании на ПК он проверяет CIS через запрос:

GetUserDefaultLangID()

Т.е. запрашивает языки, настроенные на клавиатуре по умолчанию.

На скрине в топике видно идентификаторы, а вот таблица с ними:

Если вирус находит идентификатор из таблицы, то он завершает работу и не производит кражу данных.

18 minutes ago, nestete said:

Обожаю наших русских хакеров. Своих они никогда трогать не будут, это наш менталитет!

Не факт что русские. Может быть очередная провокация чтобы потом скандал в СМИ раздуть.

[Typpak 16028]

20 hours ago, BOMBERuss said:

Данный вирус при попадании на ПК он проверяет CIS через запрос:

GetUserDefaultLangID()

Т.е. запрашивает языки, настроенные на клавиатуре по умолчанию.

На скрине в топике видно идентификаторы, а вот таблица с ними:

Если вирус находит идентификатор из таблицы, то он завершает работу и не производит кражу данных.

Я это понимаю, но я имею ввиду то, что у тебя он может не запустится, а ты передашь другому файл и у него уже запустится, мало вероятно конечно, ведь основной поток вируса на пк через закачку с сайтов. Или он самоликвидируется? 

[BOMBERuss 7928]

4 hours ago, Typpak said:

Я это понимаю, но я имею ввиду то, что у тебя он может не запустится, а ты передашь другому файл и у него уже запустится, мало вероятно конечно, ведь основной поток вируса на пк через закачку с сайтов. Или он самоликвидируется? 

Это же не сетевой червь, как на пример вирусы ILOVEYOU и WANK., хотя это руткит, но больше подходит под описание трояна. В коде вируса нет модуля для распространения, хотя почему не добавили создатели не понятно.

Он после того как проверит язык и найдет его в таблице создаст файл мутекса и завершит свою работу. Если повторно его запустят, то он сначала будет искать этот файл, а если найдет, то увидит в нем команду на завершение работы. Т.е. повторно он на том же ПК из этих пяти стран уже никогда не запуститься, если этот файл не удалят. 

[dmface 3342]

Наши хацкеры везде хороши, только последнее время на них идёт прям жёсткий прес, и много уходит на дно подчищая за собой всё что можно, а те кто не успевает то им приходится туго, но я думаю их явно не сажают, а тупо берут к себе в команду)

[kurgiva 7174]

On 02.02.2022 at 18:57, BOMBERuss said:

Найден новый вирус Mars Stealer, который атакует кошельки-расширения браузера, в том числе MetaMask и кошелек BSC. Это улучшенная копия вируса Oski.

Слышал вот не давно о таком вирусе, который атакует именно все то, что связано с криптой. И как не странно этот вирус обходит именно 5 стран! Интересно вот только, почему? Я не думаю. что это не причина того, что разрабы этого вируса именно из этих стран. Мне кажется тут что то другое и есть резкие причины - атаковать все, кроме этих стран.

[akyyyyla 2438]

Как-то странно это. Видимо, в СНГ это намного сильнее карается, чем по всему миру или что? Хотя скорее всего разрабы вируса сами с СНГ, поэтому чтобы не попасть по закону сделали так, чтобы он не воровал у СНГ кошельков ничего. Но всё равно это как-то низко

[BOMBERuss 7928]

3 hours ago, kurgiva said:

Я не думаю. что это не причина того, что разрабы этого вируса именно из этих стран. Мне кажется тут что то другое и есть резкие причины - атаковать все, кроме этих стран.

Даже на скринах, где описание вируса при продажах на форумах написано что они не работают по СНГ и остальным тоже не советуют. А код вируса поправить не сложно и он будет работать по всем странам, или внести запрет работы на дополнительные страны.

3 hours ago, akyyyyla said:

Видимо, в СНГ это намного сильнее карается, чем по всему миру или что?

Хакеров это никогда не останавливало.

3 hours ago, akyyyyla said:

Хотя скорее всего разрабы вируса сами с СНГ, поэтому чтобы не попасть по закону сделали так, чтобы он не воровал у СНГ кошельков ничего.

Даже если они воруют не в СНГ, то они в любом случае попадают по закону.

 

[kurgiva 7174]

3 hours ago, BOMBERuss said:

Даже на скринах, где описание вируса при продажах на форумах написано что они не работают по СНГ и остальным тоже не советуют. А код вируса поправить не сложно и он будет работать по всем странам, или внести запрет работы на дополнительные страны.

Вы правы и я не спорю, что код вируса можно спокойно исправить на те страны, которые захочется.  Как я понял данный вирус продается и купив его можно использовать в личных целях. Если это так, то зачем разрабы этого вирусняка - его продают???

[J.Assange 12938]

On 02.02.2022 at 22:28, Typpak said:

Думаю, что причина не столько в безопасности, как в том, что там воровать то нечего)

С СНГ по нитке -хакеру рубашка)

Дело скорее всего и в этом тоже,хотелось бы верить в некую этику.Хотя как выше подметили,в инете всем на все и с большой колокольни.Где есть деньги и к тому же которые плохо лежат,нет места эмоциям.

Edited February 4, 2022 by J.Assange

[Typpak 16028]

20 hours ago, BOMBERuss said:

Это же не сетевой червь, как на пример вирусы ILOVEYOU и WANK., хотя это руткит, но больше подходит под описание трояна. В коде вируса нет модуля для распространения, хотя почему не добавили создатели не понятно.

Он после того как проверит язык и найдет его в таблице создаст файл мутекса и завершит свою работу. Если повторно его запустят, то он сначала будет искать этот файл, а если найдет, то увидит в нем команду на завершение работы. Т.е. повторно он на том же ПК из этих пяти стран уже никогда не запуститься, если этот файл не удалят. 

Тогда понятно, спасибо за объяснение. Я думал в принципе, что если невозможна установка на пк одного человека, то при распространение есть хотя бы шанс зацепиться за другого. Но он просто находится в режиме спячки. Пока не удалят. Странно это все, радует, что в СНГ не запустится. И не радует, что продают в открытую.

[BOMBERuss 7928]

16 minutes ago, kurgiva said:

Как я понял данный вирус продается и купив его можно использовать в личных целях. Если это так, то зачем разрабы этого вирусняка - его продают???

А вы думаете так легко запустить данный вирус на нужные ПК? Для этого нужно использовать например социальную инженерию и базу данных E-mail, по которой рассылать письма, чтобы не подкованные в кибербезопасности запускали нужную софтину.

И не факт что вирус сработает, так как антивирусы никто не отменял. Если хакеры его и покупают, то долго и упорно должны разработать дополнительный софт, чтобы обойти антивирус, а это сейчас сложновато.

Либо купят его те, кто уже имеет ботнет из зараженных ПК.

Оять же из всей этой кучи только единицы занимаются криптовалютой. В холостую тратить время и ресурсы?

Проще продавать.

11 minutes ago, J.Assange said:

Дело скорее всего и в этом тоже,хотелось бы верить в некую этику.

Раньше была этика, но сейчас времена другие.

 

[Typpak 16028]

26 minutes ago, J.Assange said:

С СНГ по нитке -хакеру рубашка)

Дело скорее всего и в этом тоже,хотелось бы верить в некую этику.Хотя как выше подметили,в инете всем на все и с большой колокольни.Где есть деньги и к тому же которые плохо лежат,нет места эмоциям.

Этику я тоже не признаю, скорее безопасность, ведь продажа вируса идёт от русскоязычных пользователей, а так своих они не рекомендуют заражать) К сожалению, здесь только создатели вируса сами знают, зачем они это сделали, и надо у них спрашивать. 

[axl953 1915]

Помню говорил с одним челом. Говорю чё делаешь? Он говорит кошельки ломаю. Я ему говорю, а ты не боишься что тебя посадят? Это не этично. А он говорит а что если у меня приват ключ есть. Значит я владелец кошелька. И не докажешь кто истинный владелец ничего. Смешно слушать, но когда крипта из кошелька пропадает(что со мной было не раз) это вообще аж ни разу не смешно.

[Neunte 180]

On 04.02.2022 at 20:57, J.Assange said:

С СНГ по нитке -хакеру рубашка)

Дело скорее всего и в этом тоже,хотелось бы верить в некую этику.Хотя как выше подметили,в инете всем на все и с большой колокольни.Где есть деньги и к тому же которые плохо лежат,нет места эмоциям.

Предполагаю, хацкеры люди веселые, поэтому понаблюдать как будет разлетаться новость об данном нюансе интересно, а возможно это может быть и стратегией. Однако какой? Загадка.

Edited February 16, 2022 by Neunte

[BOMBERuss 7928]

23 minutes ago, Neunte said:

понаблюдать как будет разлетаться новость об данном нюансе интересно

Новости уже 2 недели от роду и всем пофиг. А вот когда начнут терять средства, тогда и запоют. Пусть потом не говорят что их не предупреждали.

On 04.02.2022 at 21:27, axl953 said:

А он говорит а что если у меня приват ключ есть. Значит я владелец кошелька.

Приватные ключи к адресу кошелька подобрать не реально. Алгоритм на это заточен. 

On 04.02.2022 at 21:24, Typpak said:

продажа вируса идёт от русскоязычных пользователей, а так своих они не рекомендуют заражать

Именно. На русскоязычных ресурсах его и продают. На форумах в частности. Работать по СНГ не рекомендуют.

[rruslan29 1714]

On 02.02.2022 at 09:13, Ribolov007 said:

так понятно, откуда ноги растут. Они пока чебурашку не запустят, не успокоятся. А серьезно - так ведь дела не рашаются. Есть определенные нормы, правила, понятия в конце концов. Но на это все плюют эти хакеры. Ладно бедным бы раздавали наворованное, но ведь нет... на кол, мерзавцев. А если хакеры красивые девушки, то.... но потом на кол и сжечь!

А ты добрый. Может они не трогают эти страны просто потому что нечего вытрусить) Не думаю что там есть принципы и патриотизм если они подобным занимаются. Скорее может действовать обратный принцип. Они по своему развивают мир. Учат не попадаться.