Malware ModStealer indetectável que rouba criptomoedas mira carteiras em Mac e Windows. Como o ModStealer atinge usuários de criptomoedas?

Pesquisadores de cibersegurança identificaram um novo malware infostealer que foi projetado para atacar carteiras de criptomoedas e extrair chaves privadas e outras informações sensíveis em Windows, Linux e macOS, tudo isso permanecendo indetectável pelos principais mecanismos antivírus.

O malware, conhecido como ModStealer, foi identificado pela Mosyle, uma plataforma de segurança especializada em gerenciamento de dispositivos Apple, após ter evitado a detecção por semanas nos principais mecanismos antivírus.

“O malware permaneceu invisível para todos os principais mecanismos antivírus desde que apareceu pela primeira vez no VirusTotal há quase um mês”, observou a Mosyle em um relatório compartilhado com o 9to5Mac.

Embora a Mosyle normalmente foque em ameaças de segurança baseadas em Mac, ela alertou que o ModStealer foi projetado de forma que também pode infiltrar sistemas operados por Windows e Linux. 

Também houve indícios de que ele pode ter sido promovido como um Malware-as-a-Service, permitindo que cibercriminosos com pouca experiência técnica o implantem em várias plataformas usando código malicioso pronto para uso.

Malware-as-a-Service é um modelo de negócio clandestino em que desenvolvedores maliciosos vendem ou alugam kits de malware para afiliados em troca de comissão ou taxa de assinatura.

Como o ModStealer atinge usuários de cripto?

A análise da Mosyle descobriu que o ModStealer estava sendo implantado por meio de anúncios maliciosos de recrutadores de emprego que visavam principalmente desenvolvedores. 

O que torna o malware difícil de detectar é o fato de ter sido codificado usando “um arquivo JavaScript fortemente ofuscado” dentro de um ambiente Node.js.

Como ambientes Node.js são amplamente utilizados por desenvolvedores e frequentemente recebem permissões elevadas durante testes e implantação de software, eles apresentam um ponto de entrada atraente para atacantes.

Desenvolvedores também têm maior probabilidade de lidar com credenciais sensíveis, chaves de acesso e carteiras de cripto como parte de seu fluxo de trabalho, tornando-os alvos de alto valor.

Como um infostealer, uma vez que o ModStealer é entregue ao sistema da vítima, seu principal objetivo é a exfiltração de dados. O malware foi encontrado pré-carregado com código malicioso que permite atacar pelo menos “56 diferentes extensões de carteiras de navegador, incluindo Safari”, para roubar chaves privadas de cripto, alertou o relatório.

Entre outras capacidades, o ModStealer pode recuperar dados da área de transferência, capturar a tela da vítima e executar remotamente código malicioso no sistema alvo, o que a Mosyle alertou que pode dar aos cibercriminosos “controle quase total sobre os dispositivos infectados.”

“O que torna essa descoberta tão alarmante é a furtividade com que o ModStealer opera. Malware indetectável é um grande problema para detecção baseada em assinatura, pois pode passar despercebido sem ser sinalizado”, acrescentou.

No macOS, o ModStealer pode se incorporar à ferramenta launchctl do sistema, que é um utilitário integrado usado para gerenciar processos em segundo plano, permitindo que o malware se disfarce como um serviço legítimo e seja executado automaticamente toda vez que o dispositivo for iniciado.

A Mosyle também descobriu que os dados extraídos dos sistemas das vítimas são encaminhados para um servidor remoto baseado na Finlândia, que está ligado a uma infraestrutura na Alemanha, provavelmente como uma forma de ocultar a verdadeira localização dos operadores.

A empresa de segurança instou os desenvolvedores a não confiarem apenas em proteções baseadas em assinatura.

“[..] Proteções baseadas apenas em assinatura não são suficientes. Monitoramento contínuo, defesas baseadas em comportamento e conscientização sobre ameaças emergentes são essenciais para se manter à frente dos adversários.”

Novas ameaças visando usuários de cripto em Mac e Windows

À medida que a adoção de cripto cresce em todo o mundo, agentes maliciosos têm se concentrado cada vez mais em desenvolver vetores de ataque complexos para desviar ativos digitais. ModStealer está longe de ser a única ameaça em destaque.

No início deste mês, pesquisadores da ReversingLabs soaram o alarme sobre um malware de código aberto embutido em contratos inteligentes da Ethereum que poderia implantar cargas maliciosas visando usuários de cripto.