El malware ModStealer, que roba criptomonedas de forma indetectable, apunta a billeteras en Mac y Windows. ¿Cómo ataca ModStealer a los usuarios de criptomonedas?

Investigadores de ciberseguridad han identificado un nuevo malware infostealer diseñado para atacar billeteras de criptomonedas y extraer claves privadas y otra información sensible en Windows, Linux y macOS, todo mientras permanece indetectable por los principales motores antivirus.

El malware, conocido como ModStealer, fue identificado por Mosyle, una plataforma de seguridad especializada en la gestión de dispositivos Apple, después de evadir la detección durante semanas en los principales motores antivirus.

“El malware ha permanecido invisible para todos los principales motores antivirus desde que apareció por primera vez en VirusTotal hace casi un mes”, señaló Mosyle en un informe compartido con 9to5Mac.

Aunque Mosyle normalmente se enfoca en amenazas de seguridad para Mac, advirtió que ModStealer ha sido diseñado de tal manera que también puede infiltrarse en sistemas con Windows y Linux. 

También hubo indicios de que podría haber sido promocionado como Malware-as-a-Service, permitiendo que ciberdelincuentes con conocimientos técnicos mínimos lo desplieguen en múltiples plataformas utilizando código malicioso ya preparado.

Malware-as-a-Service es un modelo de negocio clandestino donde desarrolladores maliciosos venden o arriendan kits de malware a afiliados a cambio de una comisión o una tarifa de suscripción.

¿Cómo apunta ModStealer a los usuarios de cripto?

El análisis de Mosyle encontró que ModStealer estaba siendo desplegado mediante anuncios maliciosos de reclutadores de empleo que apuntan principalmente a desarrolladores. 

Lo que hace que el malware sea difícil de detectar es el hecho de que ha sido programado utilizando “un archivo JavaScript fuertemente ofuscado” dentro de un entorno Node.js.

Como los entornos Node.js son ampliamente utilizados por desarrolladores y a menudo se les otorgan permisos elevados durante las pruebas y el despliegue de software, representan un punto de entrada atractivo para los atacantes.

Además, los desarrolladores son más propensos a manejar credenciales sensibles, claves de acceso y billeteras de criptomonedas como parte de su flujo de trabajo, lo que los convierte en objetivos de alto valor.

Como infostealer, una vez que ModStealer ha sido entregado al sistema de la víctima, su objetivo principal es la exfiltración de datos. El informe advirtió que el malware viene precargado con código malicioso que le permite atacar al menos “56 diferentes extensiones de billeteras de navegador, incluyendo Safari”, para robar claves privadas de criptomonedas.

Entre otras capacidades, ModStealer puede recuperar datos del portapapeles, capturar la pantalla de la víctima y ejecutar código malicioso de forma remota en el sistema objetivo, lo que según Mosyle puede dar a los actores maliciosos “casi control total sobre los dispositivos infectados”.

“Lo que hace que este descubrimiento sea tan alarmante es el sigilo con el que opera ModStealer. El malware indetectable es un gran problema para la detección basada en firmas, ya que puede pasar desapercibido sin ser detectado”, agregó.

En macOS, ModStealer puede integrarse con la herramienta launchctl del sistema, que es una utilidad incorporada utilizada para gestionar procesos en segundo plano, permitiendo que el malware se disfrace como un servicio legítimo y se ejecute automáticamente cada vez que se inicia el dispositivo.

Mosyle también descubrió que los datos extraídos de los sistemas de las víctimas se envían a un servidor remoto ubicado en Finlandia, el cual está vinculado a infraestructura en Alemania, probablemente como una forma de ocultar la verdadera ubicación de los operadores.

La firma de seguridad instó a los desarrolladores a no depender únicamente de las protecciones basadas en firmas.

“[..] Las protecciones basadas únicamente en firmas no son suficientes. El monitoreo continuo, las defensas basadas en el comportamiento y la conciencia sobre amenazas emergentes son esenciales para adelantarse a los adversarios.”

Nuevas amenazas dirigidas a usuarios de cripto en Mac y Windows

A medida que la adopción de criptomonedas crece en todo el mundo, los actores maliciosos se han enfocado cada vez más en idear vectores de ataque complejos para desviar activos digitales. ModStealer está lejos de ser la única amenaza que acapara titulares.

A principios de este mes, investigadores de ReversingLabs lanzaron una advertencia sobre un malware de código abierto incrustado en contratos inteligentes de Ethereum que podría desplegar cargas maliciosas dirigidas a usuarios de criptomonedas.