Hè năm 2021, tài khoản MarsTeam đăng bài rao về phần mềm độc hại của mình trên một diễn đàn của giới hacker, đánh dấu sự xuất hiện của một trong những mã độc nguy hiểm với người sở hữu tiền số.
Tệp tin chứa mã độc có có dung lượng chỉ 95Kb, có thể tấn công hàng loạt mục tiêu gồm các trình duyệt phổ biến, ví tiền điện tử và các trình xác thực hai lớp. Đầu tháng 2, nhà nghiên cứu bảo mật 3xp0rt lần đầu công bố các phân tích về mã độc, cho thấy mức độ nguy hiểm của chúng vượt xa so với kích thước nhỏ gọn của chúng.
Theo 3xp0rt, tiền thân của Mars Stealer là Oski Stealer - một malware nguy hiểm xuất hiện từ năm 2019. Đến tháng 7/2020, đội ngũ Oski đột ngột đóng cửa mọi hoạt động. Một năm sau, Mars Stealer xuất hiện như kẻ kế nhiệm của Oski, với khả năng hoạt động tinh vi hơn và nhắm đến chủ sở hữu tiền điện tử.
Sự nguy hiểm của Mars Stealer nằm ở số lượng mục tiêu mà mã độc này có thể tấn công. 40 ví tiền số phổ biến hoạt động dưới dạng tiện ích mở rộng trên trình duyệt như MetaMask, Binance Chain Wallet, Coinbase Wallet, hay một số ví của nhà phát triển Việt Nam như Ronin, Coin98... đều có thể trở thành nạn nhân của Mars Stealer.
Mã độc này cũng có thể thu thập thông tin từ hơn 30 trình duyệt, gồm những cái tên phổ biến như Google Chrome, Internet Explorer, Microsoft Edge, CocCoc, FireFox cùng các ứng dụng xác thực như Authenticator, Authy, Trezor Password Manager.
Một quy trình đăng nhập ví tiền điện tử có thể bao gồm mã khóa bí mật, mã bảo mật bước hai. Toàn bộ những dữ liệu này có thể bị đánh cắp nếu máy tính nhiễm Mars Stealer.
Theo các nhà nghiên cứu, điểm lạ của mã độc là sẽ kiểm tra ngôn ngữ của thiết bị sau khi xâm nhập. Nếu ngôn ngữ thuộc Kazakhstan, Uzbekistan, Azerbaijan, Belarus hoặc Nga, phần mềm sẽ rời khỏi hệ thống mà không có hành động xấu nào. Tuy nhiên, với phần còn lại của thế giới, mã độc sẽ lấy cắp địa chỉ và khóa bí mật của ví, cùng những thông tin như tên và ID máy tính, bộ xử lý, ngôn ngữ, quốc gia.
Bên cạnh kích thước nhỏ, Mars Stealer còn có thể ẩn mình khỏi sự rà quét của các phần mềm bảo mật bằng phương pháp ẩn lệnh gọi API và kỹ thuật mã hóa chuỗi. Những thông tin thu thập sẽ được bảo vệ trong bộ nhớ thiết bị và truyền đi bằng giao thức SSL. Mars Stealer cũng sẽ tự biến mất và xóa dấu vết sau khi lấy được các dữ liệu cần thiết. Trong nhiều trường hợp, người dùng không biết mình đã bị chiếm ví tiền số.
Hiện chưa có thống kê về số nạn nhân của mã độc này. Tuy nhiên, các mục tiêu mã độc này nhắm tới hiện có hàng chục triệu người dùng. Mars Stealer có thể được phát tán qua nhiều kênh khác nhau như các website lưu trữ, torrent hay các nguồn kém tin cậy.
Theo BleepingComputer, với mức giá bán công khai từ 140 đến 160 USD, Mars Stealer có thể dễ dàng rơi vào tay của kẻ xấu và được sử dụng trong các cuộc tấn công tiền điện tử tương lai.
Lưu Quý