¡Alerta Hodlers! Un nuevo malware ataca a MetaMask y a otras 40 billeteras de criptomonedas
La seguridad nunca fue el punto fuerte de las billeteras basadas en navegadores para almacenar Bitcoin (BTC), Ether (ETH) y otras criptomonedas. Sin embargo, un nuevo malware complica aún más la seguridad de las billeteras online al dirigirse directamente a las billeteras de criptomonedas que funcionan como extensiones del navegador, como MetaMask, Binance Chain Wallet o Coinbase Wallet.
Llamado Mars Stealer por sus desarrolladores, el nuevo malware es una poderosa actualización del troyano Oski de 2019 que roba información, según el investigador de seguridad 3xp0rt. Se dirige a más de 40 billeteras de criptomonedas basadas en navegador, junto con las populares extensiones de autenticación de dos factores (2FA), con una función de agarre que roba las claves privadas de los usuarios.
MetaMask, Nifty Wallet, Coinbase Wallet, MEW CX, Ronin Wallet, Binance Chain Wallet y TronLink son algunos de las billeteras atacadas. El experto en seguridad señala que el malware puede atacar las extensiones de los navegadores basados en Chromium, excepto Opera. Lamentablemente, esto significa que algunos de los navegadores más comunes como Google Chrome, Microsoft Edge y Brave llegaron a la lista. Además, aunque están a salvo de los ataques específicos a las extensiones, Firefox y Opera también son vulnerables al secuestro de credenciales.
Mars Stealer puede propagarse a través de varios canales, como sitios web de alojamiento de archivos, clientes de torrent y cualquier otro descargador sospechoso. Tras infectar un sistema, lo primero que hace el malware es comprobar el idioma del dispositivo. Si coincide con el ID de idioma de Kazajistán, Uzbekistán, Azerbaiyán, Bielorrusia o Rusia, el software abandona el sistema sin realizar ninguna acción maliciosa.
Para el resto del mundo, el malware se dirige a un archivo que contiene información sensible, como la información de las direcciones de las billeteras de criptomonedas y las claves privadas. Posteriormente, abandona el sistema borrando cualquier presencia una vez completado el robo.
Los hackers están vendiendo actualmente Mars Stealer por USD 140 en foros de la dark web, lo que significa que la barrera de acceso al troyano es relativamente baja para los actores malintencionados. Se advierte a los usuarios que guardan sus criptoactivos en carteras basadas en navegadores o que utilizan extensiones de navegadores como Authy para utilizar 2FA que tengan cuidado de no hacer clic en enlaces o descargas sospechosas.