ظهر نوع جديد من البرمجيات الخبيثة يسمى ModStealer كتهديد كبير لمحافظ العملات المشفرة المعتمدة على المتصفح، حيث يستخدم تقنيات إخفاء متقدمة لتجاوز دفاعات مضادات الفيروسات المبنية على التوقيع. أبلغ باحثو الأمان في Mosyle أن ModStealer ظل غير مكتشف لمدة تقارب الشهر بينما استهدف بشكل نشط ملحقات المحافظ عبر أنظمة تشغيل رئيسية، بما في ذلك ويندوز ولينكس وماك أو إس.
تتمثل الوسيلة الأساسية لتوزيع ModStealer في إعلانات توظيف مضللة تجذب المطورين لتنزيل حمولات مصابة. عند التنفيذ، يستخدم البرمجيات الخبيثة نصوص NodeJS مشفرة بشكل كبير تتجنب محركات مضادات الفيروسات التقليدية عن طريق إخفاء أنماط الكود المعروفة. يبدأ التنفيذ بروتينات فك التعبئة الديناميكية التي تعيد بناء الوحدة الأساسية لاستخراج البيانات في الذاكرة، مما يقلل من أثرها على القرص وعلامات الأدلة الجنائية للاختراق.
يتضمن الكود تعليمات مبرمجة مسبقًا للبحث واستخراج بيانات الاعتماد من 56 ملحقًا مختلفًا لمحافظ المتصفح، بما في ذلك المحافظ الشهيرة التي تدعم بيتكوين، إيثيريوم، سولانا، وسلاسل كتل رئيسية أخرى. تُنسخ المفاتيح الخاصة، وقواعد بيانات الاعتماد، والشهادات الرقمية إلى مجلد محلي مؤقت قبل نقلها إلى خوادم التحكم عبر قنوات HTTPS مشفرة. تتيح وظائف اختطاف الحافظة اعتراض عناوين المحافظ، مع تحويل عمليات نقل الأصول إلى عناوين يسيطر عليها المهاجم في الوقت الفعلي.
بجانب سرقة بيانات الاعتماد، يدعم ModStealer وحدات اختيارية للاستطلاع النظامي، التقاط الشاشة، وتنفيذ التعليمات البرمجية عن بُعد. على macOS، يستغل زرع البرمجيات آلية LaunchAgents لتحقيق الاستمرارية، في حين تستخدم نسخ ويندوز ولينكس المهام المجدولة و cron jobs على التوالي. تتيح البنية المعيارية للبرمجيات الخبيثة للشركاء تخصيص الوظائف بناءً على بيئة الهدف وقدرات الحمولة المطلوبة.
يصنف محللو Mosyle ModStealer كخدمة برمجيات خبيثة (Malware-as-a-Service)، مما يعني أن المشغلين الشركاء يدفعون مقابل الوصول إلى بنية البناء والنشر، مما يخفض عتبة الدخول للجهات المهددة الأقل خبرة تقنيًا. يبرز الارتفاع بنسبة 28% في متغيرات البرمجيات الخبيثة المخصصة لسرقة المعلومات هذا العام مقارنة بعام 2024 اتجاهًا متزايدًا لاستخدام برمجيات خبيثة متاحة تجاريًا تستهدف أهدافًا ذات قيمة عالية في نظام العملات المشفرة.
تشمل استراتيجيات التخفيف التي توصي بها فرق الأمان فرض سياسات صارمة لتصفية البريد الإلكتروني والويب لحجب شبكات الإعلانات الضارة، نشر حلول كشف التهديدات القائمة على السلوك، وتعطيل التنفيذ التلقائي لنصوص NodeJS غير الموثوقة. يُنصح مستخدمو محافظ المتصفح بالتحقق من سلامة الملحقات، والاحتفاظ بنُسخ احتياطية محدثة لعبارات البذور مخزنة أوفلاين، والنظر في حلول محافظ الأجهزة لحيازات ذات قيمة كبيرة.
يمكن أن يساعد المراقبة المستمرة لأنماط المرور للكشف عن الاتصالات الصادرة الشاذة إلى نطاقات غير مألوفة في الاكتشاف المبكر لمحاولات استخراج البيانات. سيكون التنسيق بين مطوري المحافظ، ومتصفحات الويب، وشركات الأمان ضروريًا لتطوير توقيعات مبنية على التوقيع والسلوك يمكنها اعتراض طبقات إخفاء ModStealer ومنع مزيد من اختراق المحافظ.
التعليقات (0)