Kluczowe informacje
- Nowe złośliwe oprogramowanie o nazwie „ModStealer” atakuje portfele kryptowalutowe na różnych systemach operacyjnych.
- Rozprzestrzenia się poprzez fałszywe ogłoszenia rekrutacyjne i pozostaje niewykryte przez główne silniki antywirusowe.
- Złośliwe oprogramowanie potrafi kraść klucze prywatne z 56 różnych rozszerzeń portfeli przeglądarkowych.
Nowe wieloplatformowe złośliwe oprogramowanie o nazwie „ModStealer” aktywnie atakuje portfele kryptowalutowe, pozostając niewykryte przez główne oprogramowanie antywirusowe.
Zgłoszono, że malware zostało stworzone w celu kradzieży wrażliwych danych użytkowników na systemach macOS, Windows i Linux. Było aktywne przez prawie miesiąc przed jego wykryciem.
11 września, po raz pierwszy szczegółowo opisane przez 9to5Mac, publikację skupioną na produktach Apple, w rozmowie z firmą zarządzającą urządzeniami Apple Mosyle, ModStealer rozprzestrzenia się poprzez fałszywe ogłoszenia rekrutacyjne skierowane do deweloperów.
Ta metoda to forma oszustwa podobna do zaawansowanych ataków socjotechnicznych, które ostatnio doprowadziły do ogromnych strat wśród użytkowników kryptowalut.
Poza portfelami kryptowalutowymi, malware atakuje również pliki z danymi uwierzytelniającymi, szczegóły konfiguracji oraz certyfikaty. Wykorzystuje silnie zaciemniony plik JavaScript napisany w NodeJS, aby uniknąć wykrycia przez tradycyjne narzędzia bezpieczeństwa oparte na sygnaturach.
Jak działa ModStealer
Złośliwe oprogramowanie uzyskuje trwałość na macOS, wykorzystując narzędzie launchctl firmy Apple, co pozwala mu działać cicho w tle jako LaunchAgent. Dane są następnie przesyłane na zdalny serwer zlokalizowany w Finlandii, ale powiązany z infrastrukturą w Niemczech — metoda ta prawdopodobnie służy ukryciu rzeczywistej lokalizacji operatora.
Analiza Mosyle wykazała, że malware celuje w 56 różnych rozszerzeń portfeli przeglądarkowych, w tym tych na Safari, aby wykradać klucze prywatne, co podkreśla znaczenie korzystania z bezpiecznych zdecentralizowanych portfeli kryptowalutowych.
Złośliwe oprogramowanie potrafi także przechwytywać dane ze schowka, wykonywać zrzuty ekranu oraz wykonywać zdalny kod, dając atakującym niemal pełną kontrolę nad zainfekowanym urządzeniem.
To odkrycie następuje po innych niedawnych naruszeniach bezpieczeństwa w ekosystemie kryptowalut. Wcześniej w tym tygodniu szeroko zakrojony atak na łańcuch dostaw NPM próbował skompromitować deweloperów, wykorzystując fałszywe e-maile do kradzieży danych uwierzytelniających.
Atak ten miał na celu przejęcie transakcji na wielu łańcuchach, w tym Ethereum ETH $4 690 24h zmienność: 3.3% Kapitalizacja rynkowa: $566.28 B Wolumen 24h: $36.36 B oraz Solana SOL $240.5 24h zmienność: 0.6% Kapitalizacja rynkowa: $130.48 B Wolumen 24h: $8.99 B, poprzez podmianę adresów kryptowalutowych.
Jednak atak został w dużej mierze powstrzymany, a napastnicy ukradli jedynie około $1,000, co stanowi niewielką kwotę w porównaniu do innych dużych kradzieży kryptowalut, gdzie hakerzy skutecznie wyprali i zainwestowali ponownie miliony w skradzionych aktywach.
Badacze z Mosyle uważają, że ModStealer wpisuje się w model „Malware-as-a-Service” (MaaS). Ten model, coraz popularniejszy wśród cyberprzestępców, polega na sprzedaży gotowego złośliwego oprogramowania partnerom, którzy mogą mieć minimalne umiejętności techniczne.
Mosyle stwierdziło, że zagrożenie to przypomina, iż ochrona oparta wyłącznie na sygnaturach nie wystarcza i że konieczne są zabezpieczenia oparte na analizie zachowań, aby wyprzedzić nowe wektory ataków.
